El panorama de amenazas ha cambiado en forma significativa para los entornos de tecnologías de operación (TO) en la medida en que su conectividad hacia las redes TI y la internet han aumentado exponencialmente. Hoy los dispositivos de la Internet de las Cosas (IoT) como sensores remotos transmitiendo datos sobre Wi-Fi han introducido millones de nuevos puntos de accesos en organizaciones responsables de utilitarios, energía, manufactura y más. Adicionalmente, hay una mayor necesidad por conectar computadores, controles y sistemas de inventario TO a redes de TI corporativas para administrar el negocio y producción.
Desafíos
Mientras la conectividad ha sido un gran beneficio para la eficiencia, ha introducido nuevos riesgos tanto para el entorno de TI y de TO. En la primera mitad del 2017, un promedio del 20 por ciento de los computadores de sistemas de control industrial fue atacado a nivel mundial cada mes.1 En la medida en que el conocimiento, las herramientas y servicios para llevar a cabo estos ataques se hacen más y más ampliamente disponibles, esta cifra sólo irá en aumento.
Pero un desafío aún mayor para asegurar redes híbridas de TI/TO es interno. Primero, la escala y complejidad de estas redes es inmensa. Segundo, sus equipos administradores están generalmente desconectados, trabajando con diferentes procesos, tecnologías y objetivos. La brecha creada entre las demandas de administración de redes TI/TO y los recursos disponibles para cumplirlas son donde los atacantes encuentran su oportunidad.
Para superar estos desafíos junto con maximizar el tiempo de operación y manteniendo la seguridad, las organizaciones necesitan ganar visibilidad sin errores de su superficie total de ataque. Si bien existen soluciones de visibilidad para las redes TO, su uso no está extendido masivamente y no están integradas con los programas de seguridad TI, dejando un gran punto ciego de alto riesgo cibernético. Para unificar la administración de la seguridad, las organizaciones necesitan contar con soluciones centralizadas que otorgue a todos los equipos una vista común de la red completa y sus escenarios de riesgo.
Amenazas a TO en aumento
Para los atacantes, la visibilidad limitada y las vulnerabilidades organizacionales crean una tormenta perfecta. Los expertos en seguridad y gobiernos a nivel mundial están advirtiendo acerca de la creciente amenaza a las redes TO, incluyendo aquellas hacia la infraestructura crítica.2 Tradicionalmente, grupos de amenazas persistentes avanzadas (APT) o naciones estado han dado los más grandes dolores de cabeza a los ingenieros TO, pero la democratización de herramientas de ataque y las crecientes organizaciones de crimen cibernético están expandiendo las variedades de amenazas a estas redes. Utilizando métodos de ataque comúnmente vistos en redes TI, como el phishing y el ransomware, los atacantes han fijado su visión en activos TO notoriamente no parchados—o no parchables—para interrumpir la operación, causar daño, efectuar un reconocimiento o enriquecer al atacante.
En los últimos dos años, ha habido grandes incidentes demostrando como se ve la nueva amenaza a TO. WannaCry forzó a hospitales a derivar a sus pacientes y detuvo líneas de producción.3, 4 NotPetya interrumpió los sistemas de monitoreo de radiación en el sitio nuclear de Chernobyl, y costó sólo a Maersk 300 millones de dólares.5 Y Industroyer es ampliamente acreditado por causar un apagón en medio del invierno.6
Ingredientes para TI/TO unificadas Administración de la seguridad
Considerando estos eventos, las juntas quieren reducir el riesgo operacional y de negocios; los equipos TI quieren reducir el riesgo cibernético a lo largo de todas las redes; y los equipos TO quieren mantener la producción funcionando sin alteraciones—y en forma segura—sin convertirse en expertos de seguridad de jornada completa. Para alcanzar estos objetivos, las organizaciones necesitan contar con las herramientas y los procesos correctos.
Primero, los equipos de seguridad necesitan tener la capacidad de en forma automática y no intrusiva recolectar datos desde los distintos niveles de los entornos conectados, incluyendo activos de TI y TO, protocolos de TO, dispositivos de red y cortafuegos. Para que estos datos tengan sentido, deben estar construidos como un modelo comprensible, visual e interactivo extendiéndose por TI y TO físicas, virtuales y redes en la forma de nube.
Un modelo fuera de línea da a los equipos de TI acceso a la red TO para solucionar errores de conectividad, analizar rutas de redes, y simular potenciales rutas de ataque entre y dentro de diferentes redes, sin interrumpir la producción. Entender las conexiones entre TI y TO otorga visibilidad al estado del perímetro y si los controles de seguridad adecuados están bien ubicados. Por ejemplo, el modelo puede mostrar conexiones de Internet hacia las redes TO–una fuente mayor de riesgo, pero crecientemente común en redes TO donde la conveniencia de contar con dispositivos IoT ha superado las preocupaciones de seguridad.
El modelo también puede ser usado para evaluar el estado de vulnerabilidades bajo demanda sin contar con una revisión de barrido activa, lo cual es difícil de ejecutar en un entorno TO requiriendo constante tiempo operativo. Las evaluaciones sin revisión de barrido utilizan otros repositorios de datos (sistemas de administración y parchado de dispositivos, datos de dispositivos de red e información de sistemas). Esa información es correlacionada con listas de Vulnerabilidades Comunes y Exposiciones (CVE), asesorías de fabricantes y otras bases de datos públicas de vulnerabilidades para descubrir vulnerabilidades bajo demanda—incluso en sistemas donde la revisión de barrido no es una opción.
Combinando datos de vulnerabilidades e inteligencia de amenazas con el modelo de red y simulaciones de ataques, los equipos TI tienen una visión precisa de su superficie de ataque y pueden detectar problemas de seguridad que los atacantes más probablemente ataquen, como vulnerabilidades expuestas en la red o activamente en explotación más allá de las fronteras de la organización. Por ejemplo, vulnerabilidades utilizadas en WannaCry, NotPetya o Industroyer debieran ser prioridades altas. La priorización inteligente de vulnerabilidades puede facilitar mucho más el flujo de trabajo entre TI y TO. Durante tiempos fuera de operación planificados, los equipos TI pueden hacer recomendaciones informadas respecto a prioridades de parchado u otras medidas de mitigación que pueden eliminar vulnerabilidades de rutas de ataque.
Tomar el acercamiento holístico
Un programa holístico de administración de seguridad es uno que balancea objetivos: reducir el riesgo cibernético sin sacrificar tiempo de operación, disponibilidad o seguridad. Para crear este tipo de programas, la visibilidad es el primer paso. La visibilidad sin alteraciones a lo largo de redes TI y TO sienta las bases para una administración de seguridad centralizada que puede madurar y adaptar aun cuando la organización y el panorama de amenazas vaya evolucionando.
Notas finales
1 Kaspersky Lab ICS CERT, “Threat Landscape for Industrial Automation Systems in H1 2017,” 28 September 2017, https://ics-cert.kaspersky.com/wp-content/uploads/sites/6/2017/10/KL-ICS-CERT-H1-2017-report-en.pdf
2 Ashford, W.; “Industrial Control Systems Under Attack, Warns MIT Researcher,” ComputerWeekly.com, 11 October 2017, www.computerweekly.com/news/450428010/Industrial-control-systems-under-attack-warns-MIT-researcher?utm_medium=EM&asrc=EM_EDA_83784149&utm_campaign=20171011_Government%20proposes%20changes%20to%20make%20Britain%20safer%20online&utm_source=EDA
3 Brandom, R.; “UK Hospitals Hit With Massive Ransomware Attack,” The Verge, 12 May 2017, https://www.theverge.com/2017/5/12/15630354/nhs-hospitals-ransomware-hack-wannacry-bitcoin
4 Reuters Staff, “Honda Halts Japan Car Plant After WannaCry Virus Hits Computer Network,” Reuters.com, 21 June 2017, https://www.reuters.com/article/us-honda-cyberattack/honda-halts-japan-car-plant-after-wannacry-virus-hits-computer-network-idUSKBN19C0EI
5 Burton, G.; “Maersk Pins $300m Cost on NotPetya Ransomware,” Computing, 7 November 2017, https://www.computing.co.uk/ctg/news/3020561/maersk-pins-usd300m-cost-on-notpetya-ransomware
6 Greenberg, A.; “‘Crash Override’: The Malware That Took Down a Power Grid,” Wired, 12 June 2017, https://www.wired.com/story/crash-override-malware/
Ron Davidson
Es un veterano TI de 30 años que ha trabajado con muchas de las mentes líderes de hoy en la industria de seguridad. Como Oficial Jefe de Tecnología y Vicepresidente de investigación y desarrollo en Seguridad Skybox, Davidson es responsable de avanzar en la innovación de productos y por liderar el grupo de inteligencia del Laboratorio de Investigación Skybox.