¬°Hub de contenido!
Acceso a contenido educativo gratis.

Lecciones de ciberseguridad industrial derivadas del ataque al oleoducto Colonial

A medida que contin√ļan aumentando ataques cibern√©ticos a la industria, hay mucho que aprender sobre c√≥mo evitar y mitigar efectos de una infracci√≥n. Los expertos de los proveedores de ciberseguridad Verve Industrial y Keyfactor ofrecen sus conocimientos.

Lecciones de ciberseguridad industrial derivadas de la violación del oleoducto Colonial
Foto Getty Images

No hace mucho, la mayor√≠a de los ataques cibern√©ticos a la industria ocurrieron en gran parte detr√°s de escena. Las empresas cuyos sistemas fueron violados rara vez hicieron p√ļblico el evento y si la informaci√≥n sobre estos eventos alguna vez se discuti√≥ p√ļblicamente, generalmente fue a√Īos despu√©s del evento y se revelaron pocos detalles espec√≠ficos m√°s all√° de la naturaleza del ataque.

Pero eso ha ido cambiando a medida que los ciberataques se han vuelto m√°s descarados y amenazan al p√ļblico en general. Por ejemplo, el 5 de febrero de 2021, nos enteramos de la intrusi√≥n de acceso remoto en el sistema de control en una instalaci√≥n de tratamiento de agua en Oldsmar, Florida, a unas 13 millas del Estadio Raymond James en Tampa, donde se llev√≥ a cabo el Super Bowl solo dos d√≠as despu√©s.

Como observador de la industria, uno de los aspectos m√°s impactantes del hack de Oldsmar es que lo √ļnico que lo detuvo fue un operador observador que not√≥ algunos cambios inusuales en el sistema de control de la instalaci√≥n. Aunque se permiti√≥ el acceso remoto a este sistema, aparentemente no se emple√≥ autenticaci√≥n de usuario o m√©todos de seguridad de alto nivel para restringir el acceso de usuarios no autorizados. Y debido a que el operador que not√≥ los cambios no recibi√≥ alertas sobre ellos (simplemente se dio cuenta de que los cambios que se estaban realizando eran inusuales), no es descabellado suponer que la instalaci√≥n tampoco ten√≠a implementadas tecnolog√≠as efectivas de detecci√≥n de anomal√≠as o intrusi√≥n.

Recientemente, la banda de delitos cibern√©ticos DarkSide se atribuy√≥ la responsabilidad de comprometer a Colonial Pipeline Company, uno de los oleoductos m√°s grandes de Estados Unidos. Como resultado, se est√°n experimentando cortes de combustible en todos los estados del este de los Estados Unidos. Abastecidos por Colonial Pipeline. Si bien a√ļn no conocemos todos los detalles de c√≥mo DarkSide comprometi√≥ la red de Colonial Pipeline, s√≠ sabemos que se trata de un ataque de secuestro de datos que implica el robo de casi 100 gigabytes de datos de la red de TI de la empresa. La informaci√≥n emitida por Colonial indica que su red OT (tecnolog√≠a de operaciones) no se vio afectada.

Asesoramiento para la industria

Teniendo en cuenta el aumento continuo de los ataques cibernéticos a la industria, Ron Brash, director de conocimientos sobre ciberseguridad de Verve Industrial, un proveedor de sistemas de seguridad de sistemas de control industrial, destacó cinco áreas clave de enfoque para ayudar a las empresas industriales a mitigar la amenaza de una violación cibernética que afecta a sus operaciones. "El impacto financiero de un cierre puede ser significativo", dijo. "La cibernética ahora debe ser un componente principal de toda la planificación de recuperación ante desastres y debe convertirse en un área más amplia de enfoque de la administración, incluso para las organizaciones que no se ven a sí mismas como un objetivo natural".

Sus recomendaciones para enfocar efectivamente la ciberseguridad industrial son:

Ron Brash, director de conocimientos en ciberseguridad en Verve Industrial.Ron Brash, director de conocimientos en ciberseguridad en Verve Industrial.Tenga en cuenta que la ciberseguridad industrial no es TI frente a OT, ya que las operaciones pueden verse afectadas por ataques en ambos lados del sistema. ‚ÄúLas organizaciones deben trabajar para unir estas dos organizaciones para proteger todo el sistema. Los sistemas de facturaci√≥n y fijaci√≥n de precios y los datos necesarios para operarlos son procesos cr√≠ticos, tan cr√≠ticos como la red SCADA que opera las bombas y v√°lvulas. La visibilidad y protecci√≥n en todo el panorama de TI-OT es clave para proteger las operaciones‚ÄĚ, dijo.

Las mayores brechas de seguridad en las empresas industriales tienden a estar en la gesti√≥n y el mantenimiento de la seguridad. ‚ÄúPueden existir cortafuegos, pero el personal ha ajustado la configuraci√≥n de las reglas para permitir el acceso remoto y ha creado servidores que rodean las capas de protecci√≥n cr√≠ticas; Pueden existir pol√≠ticas de parcheo, pero las tareas manuales que a menudo son est√°ndar no se completan debido a la urgencia de las operaciones; y pueden existir configuraciones est√°ndar seguras, pero se hacen excepciones, los usuarios las ajustan, se permite nuevo software y se abren puertos, dejando huecos en esa estructura segura‚ÄĚ, dijo Brash. "[Pero a menudo] no hay una visibilidad central de estas brechas".

Tambi√©n se√Īal√≥ que la disponibilidad de copias de seguridad s√≥lidas y oportunas puede reducir significativamente el tiempo de inactividad en caso de un ataque de secuestro de datos. ‚Äú¬ŅPero estas copias de seguridad est√°n actualizadas? ¬ŅSe restauran r√°pidamente? Sin la administraci√≥n, es posible que las copias de seguridad que pensaba tener no est√©n listas en caso de emergencia‚ÄĚ, dijo.

La respuesta y la recuperación rápidas son fundamentales. La ventaja real que puede tener una empresa es la capacidad inmediata de tomar acciones en los puntos finales (TI u OT) para detener la propagación del malware, dijo Brash. "Esta integración de acciones de detección y respuesta permite a las organizaciones industriales reducir significativamente la propagación y el costo de los ataques de secuestro de datos".

Tenga un plan para un cierre consciente. Brash explic√≥ que tener un plan de "apagado consciente" para evitar un incidente de OT mientras se equilibra la p√©rdida es una alternativa aceptable a un incidente mayor. ‚ÄúIncidentes como la crisis de Colonial se han convertido en la nueva norma dentro de la comunidad de ciberseguridad de infraestructura cr√≠tica‚ÄĚ, dijo. "Como tal, las organizaciones deben estar adecuadamente capacitadas y preparadas para manejar incidentes como este a trav√©s de un procedimiento bien definido".

Brash se√Īal√≥ que la capacidad de consolidar el estado de seguridad en todos los sistemas en una base de datos com√ļn para rastrear y garantizar que se mantengan las protecciones es fundamental para una protecci√≥n s√≥lida de ciberseguridad. ‚ÄúLos propietarios deben parchear, segmentar, fortalecer las configuraciones, garantizar las copias de seguridad adecuadas y limitar el acceso al m√≠nimo privilegio‚ÄĚ, dijo. "Estos elementos b√°sicos y fundamentales de la seguridad pueden marcar la diferencia entre ser una v√≠ctima o una que no lo sea".

Seguridad del dispositivo de IoT

El aumento general de los ataques cibern√©ticos que amenazan a la industria subraya el hecho de que "la seguridad no puede ser una ocurrencia tard√≠a, sino que debe dise√Īarse y planificarse en cada paso", dijo Chris Hickman, director de seguridad de Keyfactor, un proveedor de tecnolog√≠a criptogr√°fica utilizada para prevenir cortes de red e identidades de m√°quinas seguras en empresas de m√ļltiples nubes y cadenas de suministro de IoT. ‚ÄúUna buena seguridad rara vez se puede actualizar, especialmente cuando se trata de dispositivos de IoT. Debe incorporarse como un elemento fundamental y planificarse para superar la vida √ļtil prevista del producto que est√° asegurando ".Lecciones de ciberseguridad industrial derivadas de la violaci√≥n del oleoducto ColonialChris Hickman, director de seguridad de Keyfactor.

Mark Thompson, vicepresidente de gestión de productos de Keyfactor.Mark Thompson, vicepresidente de gestión de productos de Keyfactor.Mark Thompson, vicepresidente de gestión de productos de Keyfactor, destacó tres errores comunes que esta firma considera que se cometen en la industria, ya que se relacionan con la seguridad de los dispositivos de IoT y cómo evitarlos:

¬∑        Codificaci√≥n de credenciales en el dispositivo: algunos dispositivos de IoT est√°n limitados debido a credenciales codificadas, dijo Thompson. ‚ÄúEste es un resultado com√ļn cuando los fabricantes incorporan contrase√Īas o claves compartidas en el firmware para ayudar a simplificar el desarrollo o la implementaci√≥n a escala. Si [estas claves] se filtran accidentalmente, los actores de amenazas o las personas sin la autoridad adecuada pueden acceder a una flota completa de dispositivos ". Para evitar este problema, Thompson recomienda utilizar una autenticaci√≥n mutua s√≥lida entre cualquier dispositivo o aplicaci√≥n conectados dentro de la implementaci√≥n general.

¬∑         Firmware sin firmar: muchos dispositivos de IoT salen al mercado con firmware sin firmar, seg√ļn Thompson. Este problema solo aumenta a medida que se conectan m√°s dispositivos y necesitan firma de firmware. "Se recomienda encarecidamente que los fabricantes de dispositivos firmen el firmware con un certificado de firma de c√≥digo estrictamente controlado que solo permita el acceso a personas autorizadas", dijo. ‚ÄúOtro paso cr√≠tico es mantener un seguimiento de auditor√≠a interna de todas las actividades de firma de c√≥digo. El uso de un par de claves p√ļblica-privada de confianza es el medio m√°s eficaz para proteger el firmware del dispositivo y tener la capacidad de verificar y chequear la firma del dispositivo antes de iniciar el dispositivo o instalar actualizaciones de firmware ".

¬∑         Autenticaci√≥n y cifrado d√©biles: "La implementaci√≥n de claves y algoritmos criptogr√°ficos s√≥lidos que coincidan con las aplicaciones de casos de uso del dispositivo es fundamental para fortalecer su seguridad a largo plazo", dijo Thompson. ‚ÄúIgualmente importante es garantizar la suficiente entrop√≠a para producir una clave de cifrado; la aleatoriedad en la generaci√≥n de claves es una prioridad a trav√©s de este proceso".