Tras los sucesos de secuestros de información que han sucedido a lo largo de 2021 y de 2022, el sector industrial ha empezado a ver la necesidad de implementar mejores controles de ciberseguridad en sus entornos productivos, los cuales debido a la pandemia se han vuelto aún más flexibles de lo que eran anteriormente. Diego Espitia, Senior Security Research de Telefónica Tech, nos explica más detalles al respecto y sobre qué hacer para mitigar riesgos.
Las empresas en todo el mundo sufren una pandemia de ransomware, de la cual el sector industrial se ha convertido con rapidez en uno de los objetivos más apreciados por los grupos delictivos cibernéticos, donde el conocido como Ransomware as a Service se ha convertido en la principal amenaza y la infraestructura crítica la víctima de preferencia.
Esto ha generado que muchas empresas del sector industrial inicien el proceso de implementación de controles de ciberseguridad, lo cual es vital para minimizar las consecuencias de un impacto. Sin embargo, en muchas de las organizaciones se ha empezado con la compra de dispositivos de seguridad e inteligencia de amenazas, sin tener en cuenta un análisis de riesgos inicial y una capacitación a los equipos que monitorean esas herramientas.
Esto se ve reflejado cuando se presenta un incidente, entonces las directivas contratan servicios especializados de respuesta de incidentes, donde he podido apoyar en algunos casos de ransomware, los cuales al contener el incidente inician con la investigación de cuales fueros las técnicas, tácticas y procedimientos (TTP), usados por el grupo de atacantes.
Donde se analizan las alertas pasadas de estos dispositivos y las configuraciones de detección que tienen los mismos, encontrando que en algunos casos estas herramientas habían detectado comportamientos anómalos en la red o por parte de algunos usuarios, pero ninguno de los equipos de monitoreo y prevención habían tomado las medidas de control pertinentes. Esto en algunos casos por no entender la criticidad de la alerta del sistema y en otros porque la configuración no le daba la prioridad que requería.
La cantidad de casos evidenciados en diversas partes del mundo supero los 6000 millones de dólares en 2021, es una prueba que las empresas y principalmente el sector industrial pese a tener mecanismos de control y de gestión de la seguridad, no necesariamente tienen los procedimientos claros ni el personal capacitado para responder ante esta amenaza global.
¿Qué se puede hacer para mitigar el riesgo?
Es fundamental tomar acciones, en eso todos los que trabajamos en ciberseguridad estamos de acuerdo, pero tener los controles efectivos no implica la inversión en dispositivos de seguridad únicamente, siempre hay que tener en cuenta los procesos y las personas.
Uno de los primeros pasos que se pueden tomar es la generación de un plan de respuesta de incidentes exclusivo para los sistemas de control industrial, para lo que una empresa puede iniciar con los casos analizados y estudiados en la matriz de ATT&CK de ICS. Donde conociendo las técnicas, tácticas y procedimientos usados por los grupos atacantes es posible diseñar los planes de respuesta de forma efectiva.
Esto deriva el siguiente control que se puede implementar, es el aseguramiento de la arquitectura de la red, generando políticas de control en las interfaces de OT y en los accesos de las bahías de ingeniería. En nuestro sistema de metahoneypot en OT hemos detectado que es uno de los puntos más atacados, debido a que suelen ser equipos Windows sin aseguramiento y con usuarios compartidos.
En los sistemas industriales es complejo que se puedan instalar dispositivos de control que generen retardos, pero es fundamental tener visibilidad de los sucesos en la red, para lo cual es importante tener un inventario claro de activos, un mapa de vulnerabilidades conocidas en estos dispositivos y monitorear el tráfico por potenciales amenazas o comportamientos sospechosos. Para monitorear las redes industriales es necesario equipos especializados, que sean pasivos y que en conjunto con el mapa de activos, el aseguramiento de equipos de gestión industrial y una fuerte capacitación al personal sobre las consecuencias de un incidente cibernético, se pueden convertir en una línea de defensa más efectiva que la adquisición de equipamiento de seguridad sin un previo conocimiento de las amenazas, sin un estudio de riesgos, sin alinear los procesos a buenas prácticas, como la IEC 62443 y sobre todo sin la concientización al personal.