dragos - Isla informática

La ciberseguridad industrial en APAC todavía está por detrás de las empresas, pero tener una higiene básica y un plan en marcha es «años luz» mejor que nada, según el director de respuesta a incidentes en la empresa de ciberseguridad de tecnología operativa Dragos Lesley Carhart. Carhart recomienda que los operadores de tecnología industrial, grandes o pequeños en APAC, se den cuenta de que todos podrían ser objetivos, incluidos los de actores estatales que buscan robar información o posicionarse para un futuro evento geopolítico, y que implementen y prueben planes de respuesta a incidentes. La madurez de la ciberseguridad industrial todavía está por detrás de las empresas Los operadores de tecnología industrial tienen un nivel medio de madurez de seguridad en un país como Australia. Los operadores a menudo son conscientes de lo que se debe hacer desde un punto de vista estratégico y han comenzado a desarrollar más madurez, pero aún tienen una serie de brechas que llenar, dijo Carhart. «Puede que hayan comenzado a desarrollar un plan, pero aún no lo hayan probado para asegurarse de que cada parte funcione. Existe la tentación de desarrollar un plan y asumir capacidades en ciberseguridad, en infraestructura crítica, en entornos industriales de OT, sin haberlos probado realmente por completo usted mismo». Dragos ha visto organizaciones que implementan planes de respuesta a incidentes y monitoreo de seguridad; esto los coloca «años luz por delante» de aquellos que no tienen un plan ni personal ni equipo para la seguridad cibernética, pero Carhart dijo que necesitan probar suposiciones para hacer cosas tácticas detrás de la estrategia. TechRepublic Premium: Descargue una política de respuesta a incidentes ahora «A menudo hay bloques de parada donde pueden decir, ‘Asumimos que teníamos un inventario de activos y no está actualizado’, o ‘Asumimos que teníamos registros y no son completos’, o ‘Asumimos que teníamos copias de seguridad que podíamos restaurar en nuestro entorno industrial’, explicó. «Es bastante maduro en el entorno empresarial: tienen un gran personal, programas maduros, planes para la seguridad cibernética, pero cuando se pasa a OT, es un panorama diferente en un nivel diferente de madurez, y esas cosas simplemente no existen con el mismo nivel de uso práctico». Tres desafíos principales que impactan en la seguridad de la tecnología industrial Hay una serie de desafíos que impiden que los operadores de entornos tecnológicos industriales se pongan al día con las empresas en lo que respecta a la seguridad cibernética. Comunicación entre la ingeniería de procesos industriales y la ciberseguridad Carhart dijo que ha habido «décadas de malentendidos» entre los equipos de ingeniería de procesos y los responsables de la ciberseguridad en el espacio de la tecnología industrial. Gran parte de este «problema humano» se debe a malentendidos «de prioridades y terminología». VEA: Cómo el agotamiento por la ciberseguridad está creando riesgos para las organizaciones de APAC «Hemos intentado imponer controles de ciberseguridad empresarial en entornos de procesos, y simplemente no se puede hacer debido a cosas como la presencia del proveedor y la antigüedad y sensibilidad del equipo. Puede ser difícil lograr avances en la implementación de controles de seguridad modernos». Desafíos técnicos debido al equipo de tecnología operativa Gran parte del mercado de tecnología industrial utiliza equipos heredados controlados por proveedores. Carhart dijo que, debido a la gran presencia de fabricantes de equipos originales en entornos de tecnología industrial, esto puede restringir lo que las organizaciones pueden hacer en materia de ciberseguridad. Sensibilidad de los procesos y equipos de tecnología operativa Las organizaciones que operan tecnología industrial «pueden tener solo una interrupción de mantenimiento al año en la que pueden trabajar en el equipo», según Carhart, y están lidiando con equipos que a menudo permanecen en uso durante largos períodos de tiempo, a menudo con vidas útiles de hasta 20 años. “Ciertamente no se pueden implementar controles de seguridad modernos basados en agentes. Ninguna de las herramientas de seguridad que se ven en las conferencias de seguridad para entornos empresariales, como las herramientas XDR o EDR, funciona bien en entornos de procesos debido a todas esas cosas”, dijo Carhart. Más cobertura de Australia Tres amenazas cibernéticas principales que enfrenta la tecnología industrial en 2024 Hay tres amenazas principales que enfrentan los operadores de tecnología operativa. Cada categoría representa aproximadamente un tercio de cada una de las amenazas que Dragos ve que enfrentan las industrias en las naciones desarrolladas. Malware y ransomware de productos básicos Las organizaciones industriales son los principales objetivos del malware y el ransomware de productos básicos. Son «objetivos jugosos para los delincuentes», dijo Carhart, porque es más probable que sean vulnerables a un ataque y, como están haciendo cosas críticas, existe la posibilidad de que la gente pague un rescate. Carhart dijo que el malware y el ransomware afectan a los entornos industriales debido a la falta de herramientas de seguridad y madurez. Si bien es posible que no afecten necesariamente de forma directa al equipo de proceso, pueden alterar cosas como las pantallas que usan los operadores para ver si las cosas funcionan de manera segura. Datos recientes de OT 2023 Cybersecurity Year in Review de Dragos encontraron que 13 incidentes de ransomware afectaron a las organizaciones industriales del país. Un ataque de LockBit 3.0 a DP World, aunque no se implementó ransomware, provocó el cierre de las operaciones del puerto terrestre durante tres días y «puso de relieve la posibilidad de efectos en cascada e impactos del ransomware en las operaciones industriales, las cadenas de suministro y los consumidores», según una declaración de Dragos. Amenazas internas Las amenazas internas a menudo no son maliciosas ni intencionales, pero aún así pueden tener «enormes impactos», dijo Carhart. En algunos casos, los trabajadores pueden implementar medidas de seguridad incorrectamente, verse obstaculizados debido a malas relaciones humanas internas o no entender cómo hacer su trabajo correctamente. Los ejemplos incluyen la elusión de los controles de seguridad de TI, como un sistema que se conecta directamente a una conexión celular o de Internet dual o alguien que trae una unidad USB. Estas amenazas pueden afectar a equipos de procesamiento sensibles y pueden pasar desapercibidas durante meses o años. Grupos de amenazas criminales avanzadas o actores estatales La tercera categoría de amenaza es la de los grupos adversarios avanzados de estilo estatal. Participan en: Espionaje industrial: Esta actividad se observa especialmente en industrias como la fabricación y la producción de alimentos, donde los actores entran para aprender cómo se realizan los procesos y luego los roban. Construcción de reconocimiento y acceso: Los actores estatales se afianzan en industrias e infraestructura para poder hacer algo cuando sea «geopolíticamente apropiado en el futuro». «Los grupos adversarios del Estado, y algunos grupos criminales, han comenzado a construir grandes bases de datos de información sobre cómo se configuran los entornos, por lo que si hay una razón para hacer algo malicioso en el futuro, saben cómo hacerlo y tienen acceso para hacerlo», dijo Carhart. Todas las organizaciones industriales son objetivos, independientemente de su tamaño Los operadores industriales a menudo se sorprenden cuando se enfrentan a un incidente cibernético del mundo real; Carhart dijo que a menudo marcan casillas de verificación para el bien de las auditorías o para el bien de la regulación. En casos como estos, nunca habrán practicado ni realizado ejercicios ni tenido un plan sobre qué hacer cuando se produce un ataque. Carhart advirtió que cualquiera puede verse atrapado por un ataque. “No puedo contar la cantidad de casos en los que la gente decía: ‘No pensamos que nos iba a pasar a nosotros, no se suponía que fuéramos objetivos, así que nunca pusimos en práctica nuestro plan’”, dijo. Las organizaciones industriales pueden ser objetivos atractivos por diferentes razones. La experiencia de Dragos en el campo indica que las pequeñas organizaciones a menudo son el objetivo porque son blancos fáciles para los actores criminales, que pueden ganar un poco de dinero fácilmente con muchas organizaciones. “También son el objetivo de los estados porque son una buena prueba contra empresas más grandes, o pueden ser una vía de entrada a una empresa más grande”, agregó Carhart. Las empresas más grandes pueden pensar que están protegidas por grandes equipos y presupuestos de seguridad cibernética. “Pero tener una gran arquitectura que cubrir puede hacer que sea muy difícil realizar una cirugía cibernética integral, porque es posible que no sepas que existen partes de tu red. Y la planificación en muchas instalaciones industriales diferentes puede ser muy difícil, así como el monitoreo”, concluyó Carhart. El consejo de Dragos para hacer frente a un incidente de ciberseguridad industrial Lo más importante que pueden hacer los operadores de tecnología industrial e infraestructuras críticas para prepararse para un incidente cibernético y la respuesta asociada al incidente es tener «algún tipo de plan escrito», dice Carhart. Esto se debe a que los incidentes de seguridad «nunca ocurren en un momento oportuno». «Siempre son las 5 p. m. de un viernes o las 2 a. m. en Navidad», dijo. «En primer lugar, eso se debe a que todo suele estar cerrado en el entorno de procesos, o es un grupo esqueleto, y la gente tiene tiempo para mirar las cosas y darse cuenta de que están sucediendo cosas», explicó. «Y en segundo lugar, es porque las personas malas saben cuándo nadie está mirando. Por lo tanto, debe tener un plan escrito; se convierte en una crisis muy rápido, todos entran en pánico y tiene a los altos ejecutivos respirándole en la nuca, lo que es tremendamente difícil en una organización pequeña». Las organizaciones deben saber qué hacer o a quién llamar Dragos recomienda que las organizaciones documenten claramente cómo manejarán la respuesta a un incidente; Esto puede incluir pedir ayuda a una organización de apoyo gubernamental, socios como empresas de ciberseguridad o pares, donde existan acuerdos de ayuda mutua. TechRepublic Premium: Fortalezca las respuestas de seguridad con nuestra política de respuesta de seguridad «Podría ser, ‘sabemos de quién vamos a recibir ayuda, quién puede brindarnos ayuda barata o gratuita’, y eso está bien. Podría ser, ‘contamos con personal y madurez interna, y tenemos nuestro propio equipo de respuesta a incidentes para OT y así es como van a funcionar y cómo se van a interrelacionar con nuestros ingenieros de procesos’. O podría ser, ‘tenemos un contrato comercial con una empresa’ como Dragos o uno de nuestros competidores. De cualquier manera, es necesario tener un plan», dijo. 5 pasos para lograr la higiene de la ciberseguridad industrial El director ejecutivo de Dragos, Robert M. Lee, fue coautor de un informe técnico de 2022 llamado The Five ICS Cybersecurity Critical Controls. Describe cómo las organizaciones industriales pueden crear un sistema de control industrial o un programa de seguridad de tecnología operativa para mitigar muchos riesgos cibernéticos. Aunque se trata de higiene de seguridad básica, Carhart dijo que Dragos vería muchos menos casos si se implementaran en entornos de infraestructura. “Estas recomendaciones marcan una gran diferencia en la defensa, en profundidad y en la capacidad de detectar a un actor antes de que haga algo malicioso”. Las cinco recomendaciones contenidas en el documento técnico son: Respuesta a incidentes de ICS Se recomienda a las organizaciones que tengan un plan de respuesta a incidentes específico de ICS para tener en cuenta las complejidades y necesidades operativas de su entorno operativo. También deben realizar ejercicios para reforzar los escenarios de riesgo y los casos de uso adaptados a su entorno. Arquitectura defendible Se prefieren las arquitecturas defendibles para reducir el riesgo y, al mismo tiempo, facilitar los esfuerzos de los defensores humanos. Esto incluye arquitecturas que admitan elementos como visibilidad, recopilación de registros, identificación de activos, segmentación de sistemas y «DMZ industriales» o zonas de amortiguación. Monitoreo de la visibilidad de la red de ICS Lee y el coautor Tim Conway sugieren que el monitoreo continuo de la seguridad de la red del entorno de ICS debería ser una prioridad, si es posible utilizando conjuntos de herramientas conscientes del protocolo y capacidades de análisis de interacción del sistema de sistemas que puedan informar a las operaciones de los riesgos potenciales a controlar. Acceso remoto seguro Se recomienda que las organizaciones identifiquen e inventarian todos los puntos de acceso remoto y los entornos de destino permitidos. También deben implementar acceso a pedido y MFA si es posible, y entornos de host de salto para proporcionar puntos de control y monitoreo dentro de segmentos seguros. Gestión de vulnerabilidades basada en riesgos El sistema de control de ICS debe incluir una comprensión de los controles digitales cibernéticos implementados y las condiciones de funcionamiento del dispositivo. Esto puede ayudar a tomar decisiones de gestión de vulnerabilidades basadas en riesgos al aplicar parches para la vulnerabilidad, mitigar el impacto o monitorear una posible explotación.

Todo lo que necesitas saber sobre tecnología

Etiqueta: dragos

Los conceptos básicos de ciberseguridad industrial pueden ayudar a proteger a los operadores de OT de APAC