La infraestructura crítica está sufriendo una ola creciente de ataques de ransomware dirigidos a los Sistemas de Control industrial (ICS). Estos ataques pueden causar interrupciones del servicio en el mundo real y costar millones de dólares.
La seguridad de los Sistemas de Control Industrial (ICS) es particularmente desafiante porque la Tecnología Operativa (OT) a menudo está aislada de la tecnología de la información (TI) en redes conocidas como espacios de aire o zonas desmilitarizadas (DMZ).
En teoría, este aislamiento de red que debería proteger la tecnología operativa (OT) y los Sistemas de control industrial (ICS) en la práctica hace que la gestión sea mucho más compleja. Es crucial que las organizaciones implementen controles de compensación para garantizar que el proceso de actualización y mantenimiento de OT e ICS no termine creando nuevas vulnerabilidades.
Ataques de ransomware en serie
El reciente estallido de ataques de ransomware contra empresas de infraestructura crítica ha puesto a la industria en alerta máxima. Los casos más famosos son JBS, que pagó US $ 11 millones en bitcoins a piratas informáticos, y el operador Colonial Pipeline .
El Departamento de Estado de EE. UU. Comenzó a ofrecer recompensas por información sobre ataques cibernéticos respaldados por gobiernos extranjeros. Además del ransomware, estos ataques de estado-nación pueden incluso causar daño físico a ICS, como lo hizo el Gusano Stuxnet cuando sobrecalentó las centrifugadoras nucleares hasta que fueron destruidas.
La agencia de seguridad estadounidense CISA (Cybersecurity Incident Security Agency) publica con frecuencia alertas para vulnerabilidades de ICS y SCADA (Supervisory Control And Data Acquisition). Para actualizar y corregir estas vulnerabilidades es necesario instalar actualizaciones y parches. Por lo general, se aplican directamente mediante un dispositivo de medios portátil, como una unidad flash USB, que puede ser un vector de amenaza para el compromiso de ICS. En 2016, apareció una actualización falsa que contenía ransomware para los controladores lógicos programables de Rockwell (PLC) en varios foros de Internet.
Segmentación de Red, Redes con Espacios Abiertos y Zonas Desmilitarizadas (DMZ)
Las tres mejores prácticas para la gestión de TO e ICS están estrechamente relacionadas. La segmentación de red se implementa en forma de redes virtuales y cortafuegos. Las redes con espacios abiertos aíslan las redes OT críticas de las redes de TI conectadas a Internet. Las DMZ establecen una jerarquía de zonas de red llamada Modelo Purdue , donde la comunicación de datos y las transferencias de archivos solo deben tener lugar entre zonas adyacentes.
Aunque la adopción de estas prácticas funciona en la reducción del riesgo, es posible evitarlas utilizando pendrives USB, por ejemplo. Por lo general, se necesitan medios portátiles para actualizar los sistemas SCADA o descargar archivos de registro para su análisis, pero desafortunadamente las unidades flash USB también pueden ser la fuente de un ataque, como en el caso Stuxnet.
Seguridad entre Dominios
CISA recomienda con frecuencia las mejores prácticas para la seguridad de ICS, incluido cómo actualizar el antivirus e instalar parches de software para los sistemas de control.
A instalação de antivírus em sistemas de controle industriais é problemática porque as atualizações precisam ser constantemente implementadas e caso não sejam, as taxas de detecção caem substancialmente. Os sistemas de TI podem ser atualizados automaticamente pelo fornecedor de antivírus, mas como ICS é isolado isso fica muito mais difícil.
Recomendaciones de CISA:
Descargar actualizaciones en un host dedicado
Grabar actualizaciones en medios portátiles
Utilice este medio para actualizar el servidor
Las organizaciones deben poder verificar el origen de la actualización y analizar los archivos en busca de malware. Esto es muy importante porque los ciberdelincuentes pueden poner en peligro los servidores e insertar código malicioso en las actualizaciones.
La gestión de parches es muy importante. Las vulnerabilidades de ICS son comunes porque hay muchos sistemas heredados en uso, por lo que cualquier conectividad de red puede exponer una sola vulnerabilidad a un ataque. El primer paso en la administración de parches es determinar si los sistemas son vulnerables a los ataques, luego debe verificar el origen del parche y buscar malware.
Los medios portátiles son esenciales para actualizar los sistemas antivirus y administrar las actualizaciones, por lo que es importante tener cuidado para evitar la filtración de datos confidenciales. Verificar el origen de los archivos es crucial para las organizaciones de infraestructura crítica.
Seguridad física para amenazas reales
La infraestructura crítica necesita incorporar controles de seguridad físicos como cámaras, guardias y checkpoints porque los ataques físicos pueden causar interrupciones en el servicio. Ahora que los ciberataques a infraestructuras críticas son cada vez más frecuentes, los proveedores de servicios de este mercado también tienen la tarea de mejorar la ciberseguridad.
Es interesante notar que las soluciones de ciberseguridad también son físicas, lo que significa que aislar físicamente los entornos de TI y OT es muy importante. Sin embargo, las unidades flash USB todavía representan una fuente física de riesgo y las organizaciones deben considerar una segunda capa de seguridad física, como el quiosco MetaDefender .
Fuente: Security Boulevard
Cuente con International IT y OPSWAT para implementar una metodología Zero Trust y proteger la infraestructura crítica de su empresa.
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
