En el pasado, los atacantes cibernéticos ignoraban en gran medida los sistemas de tecnología operativa (OT), como los sistemas de control industrial y los sistemas SCADA, porque era difícil acceder a la información patentada o los sistemas OT que no estaban conectados a redes externas y los datos no podían infiltrarse fácilmente.

Pero ese ya no es el caso. Hoy en día, muchos sistemas industriales están conectados a redes de empresas con acceso a Internet y que utilizan de todo, desde sensores conectados y análisis de big data para ofrecer mejoras operativas. Esta convergencia e integración de OT y TI ha dado como resultado un número creciente de riesgos cibernéticos, incluidos los incidentes cibernéticos efectivos e impactantes tanto en TI como en OT.

Las amenazas de ciberseguridad en el mundo de OT son diferentes de las de TI, ya que el impacto va más allá de la pérdida de datos, el daño a su reputación o la erosión de la confianza del cliente. Un incidente de ciberseguridad de OT puede provocar la pérdida de producción, daños a los equipos y liberación ambiental. La defensa de OT de los ciberataques requiere un conjunto de herramientas y estrategias diferente al utilizado para proteger la TI. Veamos cómo las amenazas de ciberseguridad comúnmente encuentran su camino hacia el entorno protegido de OT.

2 vectores principales en OT

Hay dos vectores principales por los que el malware puede ingresar a una instalación de producción segura en un entorno OT: 1) a través de la red; o 2) a través de dispositivos y medios extraíbles.

Los atacantes pueden ingresar a un sistema OT mediante la explotación de activos cibernéticos a través de firewalls en redes enrutables. Las mejores prácticas adecuadas de la red de OT, como la segmentación de la red, la autenticación sólida y varias zonas con cortafuegos, pueden contribuir en gran medida a prevenir un incidente cibernético.

El malware BlackEnergy, utilizado en el primer ataque cibernético dirigido registrado en una red eléctrica, comprometió a una compañía eléctrica a través de correos electrónicos de spear phishing enviados a los usuarios en el lado de TI de las redes. A partir de ahí, el actor de amenazas pudo pivotar en la red OT crítica y usó el sistema SCADA para abrir interruptores en subestaciones. Se informa que este ataque ha provocado la muerte de más de 200.000 personas. perdiendo energía durante seis horas durante el invierno.

Si bien el término «sneakernet» puede ser nuevo o parecer incómodo, se refiere al hecho de que los dispositivos como el almacenamiento USB y los disquetes se pueden usar para cargar información y amenazas en redes OT críticas y sistemas con espacios abiertos solo por el atacante cibernético físicamente. llevarlos a la instalación y conectarlos al sistema correspondiente.

Los dispositivos USB continúan representando un desafío, especialmente porque las organizaciones confían cada vez más en estos dispositivos de almacenamiento portátiles para transferir parches, recopilar registros y más. El USB es a menudo la única interfaz compatible con teclados y ratones, por lo que no se puede deshabilitar, lo que deja habilitados los puertos USB de repuesto. Como resultado, existe el riesgo de insertar dispositivos extraños en las mismas máquinas que estamos tratando de proteger. Se sabe que los piratas informáticos colocan unidades USB infectadas dentro y alrededor de las instalaciones a las que se dirigen. Los empleados a veces encontrarán estas unidades comprometidas y las conectarán a un sistema porque esa es la única forma de determinar qué hay en una de ellas, incluso sin etiquetas como «resultados financieros» o «cambios de personal».

Stuxnet puede ser el ejemplo más infame de malware que se introduce en una instalación sin aire mediante USB. Este gusano informático extremadamente especializado y sofisticado se cargó en una instalación nuclear con espacio de aire para alterar la programación de los PLC (controladores lógicos programables). El resultado final fue que las centrífugas giraban demasiado rápido durante demasiado tiempo, lo que finalmente causaba daños físicos al equipo.

Ahora más que nunca, los entornos de producción enfrentan amenazas de ciberseguridad de dispositivos USB maliciosos capaces de eludir la brecha de aire y otras salvaguardas para interrumpir las operaciones desde adentro. los Informe de amenazas USB de ciberseguridad industrial de Honeywell de 2021 descubrió que el 79% de las amenazas detectadas desde dispositivos USB tenían el potencial de causar interrupciones en OT, incluida la pérdida de visión y la pérdida de control.

El mismo informe encontró que el uso de USB ha aumentado un 30%, mientras que muchas de estas amenazas de USB (51%) intentaron obtener acceso remoto a una instalación protegida con espacio de aire. Honeywell revisó datos anonimizados en 2020 de su motor de investigación y defensa de análisis global (GARD), que analiza el contenido basado en archivos, valida cada archivo y detecta malware y amenazas que se transfieren a través de USB dentro o fuera de los sistemas OT reales.

TRITON es el primer uso registrado de malware diseñado para atacar sistemas de seguridad en una instalación de producción. Un sistema instrumentado de seguridad (SIS) es la última línea de defensa de seguridad automatizada para instalaciones industriales, diseñada para evitar fallas en los equipos e incidentes catastróficos como explosiones o incendios. Los atacantes primero penetraron en la red de TI antes de pasar a la red OT a través de sistemas accesibles para ambos entornos. Una vez en la red OT, los piratas informáticos infectaron la estación de trabajo de ingeniería para SIS con el malware TRITON. El resultado final de TRITON es que un SIS podría cerrarse y poner en riesgo a las personas dentro de una instalación de producción.

Los dispositivos físicos también pueden provocar incidentes cibernéticos

No solo debemos estar atentos a las amenazas basadas en el contenido. Un mouse, cable u otros dispositivos también pueden usarse como arma contra OT.

En 2019, los agentes malintencionados atacaron a una persona de confianza con acceso a una red de control. Este usuario autorizado, sin saberlo, cambió un mouse real por el mouse armado. Una vez conectado a la red crítica, alguien más tomó el control de la computadora desde una ubicación remota y lanzó ransomware.

La planta de energía pagó el dinero del rescate; sin embargo, no recuperaron sus archivos y tuvieron que reconstruir, lo que afectó la instalación durante tres meses. Es imperativo que sepa de dónde provienen sus dispositivos antes de usarlos.

3 pasos para vencer las amenazas cibernéticas

Las amenazas cibernéticas están en constante evolución. Primero, establezca un horario regular para revisar su estrategia, políticas y herramientas de ciberseguridad para mantenerse al tanto de estas amenazas. En segundo lugar, las amenazas de uso de USB están aumentando, por lo que es importante evaluar el riesgo para sus operaciones de OT y la efectividad de sus protecciones actuales para dispositivos USB, puertos y su control.

Por último, pero no menos importante, se recomienda encarecidamente una estrategia de defensa en profundidad. Esta estrategia debe poner capas de herramientas y políticas de ciberseguridad de OT para brindar a su organización la mejor oportunidad de mantenerse a salvo de las amenazas cibernéticas en constante evolución.

Author

Write A Comment