Manteniendo las luces encendidas

0 79 5 minutos de lectura

Por Tom Kellermann, director de ciberseguridad, Carbon Black

Cuando la franquicia de películas Die Hard se reinició en 2007, la trama giraba en torno a un ataque a la infraestructura de Nueva York, con nuestro héroe John McClane enfrentándose a una banda de ciberdelincuentes que intentaban obtener acceso a sistemas críticos de control de energía, agua y transporte para sembrar el caos y (naturalmente) lárgate con un montón de dinero en efectivo. Avance rápido menos de una década y la situación pasó de la trama de la película a la cruda realidad, ya que en 2015 Ucrania luchó contra un ciberataque orquestado por Rusia en su centro de control de electricidad que causó cortes de energía masivos en las profundidades del invierno. Cuando un enemigo puede apagar tus luces cuando más las necesitas, es una declaración poderosa de su potencial disruptivo. La preocupación del sector energético no es solo que está siendo atacado, es que el enemigo ya está dentro de sus redes, ganando persistencia y esperando la oportunidad de atacar. Echemos un vistazo a la situación y cómo el sector puede fortalecer sus sistemas para asegurarse de que mantenemos el foco de atención directamente sobre nuestros adversarios.

La evolución de la amenaza del sector energético

Anteriormente, la principal preocupación del sector energético era el compromiso físico de los generadores y centrales eléctricas. La atención se centró en mejorar la resiliencia y mantener el acceso y el control del sistema en caso de que el acceso y los sistemas en el sitio se vieran afectados. El sector recurrió a la industria financiera en busca de orientación, implementando acceso remoto, monitoreo inalámbrico, centros de datos de respaldo y computación en la nube. Irónicamente, si bien esto aumentó la resiliencia frente a eventos físicos, el reemplazo de sistemas patentados por tecnologías comerciales y el despliegue masivo de dispositivos de IoT también aumentó dramáticamente la superficie de ataque virtual para los actores de amenazas patrocinados por el estado. Como resultado, en los últimos años se han incrementado los incidentes de ataques como ese en Ucrania.

La tensión geopolítica siempre sirve como un presagio de ataques cibernéticos y el cambio en el riesgo primario de la interrupción física a la infiltración virtual realmente se hizo evidente a principios de este año cuando el GCHQ, el FBI y la seguridad nacional de EE. UU. declaración conjunta sin precedentes advirtiendo que, en respuesta a los ataques aéreos llevados a cabo en Siria, los actores de amenazas patrocinados por Rusia estaban atacando a los proveedores de infraestructura crítica. Los ciberataques a la infraestructura nacional crítica se clasifican como una amenaza de primer nivel para el Reino Unido, y el Centro de Estudios de Riesgos de Cambridge estima que el impacto económico de un ciberataque exitoso en una red regional de distribución de electricidad del Reino Unido podría llegar a £ 12.86 mil millones.

Asumir la carga de proteger las redes de energía

A pesar de todas las advertencias y consejos que emiten los gobiernos, están limitados en lo que pueden hacer prácticamente para proteger a las organizaciones de los ataques; la verdadera carga de la defensa recae en las empresas energéticas. Esas empresas se enfrentan al hecho de que los malos están involucrados en una campaña de colonización destinada a ganar y mantener la persistencia en las redes objetivo mediante el uso clandestino de herramientas legítimas.

Las empresas del sector energético no solo deben preocuparse por sus propias redes. A medida que aprovechan las economías de escala del comercio mundial, las empresas de energía se exponen a un mayor riesgo de terceros a través de la cadena de suministro. Estamos viendo una mayor incidencia de isla en isla a través de esa cadena de suministro con piratas informáticos que utilizan TTP como spear-phishing, cuentas y sitios web comprometidos y recopilación de credenciales para afianzarse en organizaciones de proveedores de confianza. Luego usan esta plataforma para ingresar a su red de destino.

Ahora se observa a los atacantes viviendo de la tierra, utilizando herramientas confiables como powershell, WMI e incluso .net para dificultar la detección; penetrando en los sistemas basados en ventanas y moviéndose lateralmente y más profundamente en las organizaciones de víctimas.

La evidencia de los recientes ataques al sector también ha indicado que los actores principales ya tenían algún nivel de infiltración en sus objetivos antes de lanzar campañas coordinadas. Esta es una señal preocupante del potencial poder disruptivo de los adversarios y subraya la importancia de fortalecer las posturas de seguridad y erradicar a estos actores.

Cortar el poder a los ciberataques

Para armarnos contra esta compleja amenaza, debemos dejar atrás los estándares de seguridad que se desarrollaron hace 5-10 años. Esas defensas basadas en el perímetro son ineficaces contra los ataques sin archivos actuales. Necesitamos seguridad de próxima generación que sea capaz de reprimir al adversario al detectarlo, engañarlo, desviarlo, contenerlo y cazarlo en tiempo real. Efectivamente, necesitamos privar a los atacantes del oxígeno que necesitan para existir en nuestros sistemas.

Para esto, es fundamental tener la capacidad de identificar instancias en las que las herramientas de software legítimas muestran un comportamiento anómalo que podría indicar un ataque inminente. Esto requiere el uso de detección y respuesta de endpoints para monitorear continuamente los datos sin filtrar para que podamos detectar y mitigar los ataques antes de que puedan afianzarse. Toda esta inteligencia debe almacenarse de forma centralizada para que pueda analizarse y contribuir a la base de conocimientos global. También necesitamos la posibilidad de ir en la otra dirección para abrir una interfaz de línea de comandos al punto final para suprimir la actividad de intrusos.

Los ataques también se están volviendo más sofisticados y multifacéticos. En la reciente encuesta de Carbon Black a los profesionales de respuesta a incidentes, el 64% notó que estaban viendo el comando y el control secundarios cuando los atacantes lanzaban cargas útiles secundarias ocultas después de que el ataque inicial había sido cerrado. Además, el 46% de los encuestados había encontrado evidencia de respuesta contra incidentes por parte de los adversarios. En este punto, creo que nuestra metodología de respuesta a incidentes se ha vuelto demasiado ruidosa en los últimos años. Tenemos que ser más clandestinos en la forma en que reaccionamos ante los adversarios. Puede que no sea lo mejor para nosotros cerrar inmediatamente el comando y el control antes de que tengamos inteligencia sobre exactamente qué tan lejos lateralmente se ha movido el ataque a través de nuestra infraestructura, particularmente cuando nos enfrentamos a enemigos que tienen la intención no solo de robar datos, sino también de sabotear sistemas críticos.

La búsqueda de amenazas proactiva es otra actividad esencial en el entorno actual, y no puede limitarse a la respuesta a incidentes. Un equipo multidisciplinario debe anticipar las debilidades potenciales y las rutas de ataque viables no solo dentro de la organización sino a lo largo de la cadena de suministro de información para dar un paso adelante.

La microsegmentación también es una parte importante de la defensa a la que se están enfrentando más empresas. Si podemos crear un entorno similar a una prisión dentro de nuestra red, podemos limitar el movimiento lateral viable entre subredes y sistemas, para reducir las oportunidades incluso si los piratas informáticos logran establecerse.

Finalmente, si siente que no puede fortalecer una ruta de ataque viable más, puede luchar contra el enemigo con la tecnología de cuadrícula de engaño, plantando de manera efectiva objetivos señuelo de trampas en su red para atraer ataques y forzar a los piratas informáticos a enfocarse en el reflector.

Para el John McClane digital de hoy, proteger el sector de la energía se trata menos de músculo y más de visibilidad de red, búsqueda de amenazas innovadoras y respuesta inteligente a incidentes, además de garantizar que estamos implementando el antivirus de próxima generación que está a la altura del desafío de detectar ataques sin archivos para Mantenga a los enemigos alejados y las luces encendidas en el sector energético.

Manteniendo las luces encendidas

Deja una respuesta Cancelar la respuesta

Más de £ 100,000 fueron robados a personas mayores en Lancaster el año pasado.

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Se han filtrado en línea millones de préstamos bancarios y documentos hipotecarios.

Google CAPTCHA roto por IA de voz a texto

Correos electrónicos de tarjetas electrónicas de Acción de Gracias que distribuyen software malicioso

Bases de datos no seguras borradas por el ataque ‘Miau’

Deja una respuesta Cancelar la respuesta

Más de £ 100,000 fueron robados a personas mayores en Lancaster el año pasado.