Lecciones de ciberseguridad industrial derivadas del ataque al oleoducto Colonial
A medida que continúan aumentando ataques cibernéticos a la industria, hay mucho que aprender sobre cómo evitar y mitigar efectos de una infracción. Los expertos de los proveedores de ciberseguridad Verve Industrial y Keyfactor ofrecen sus conocimientos.
No hace mucho, la mayoría de los ataques cibernéticos a la industria ocurrieron en gran parte detrás de escena. Las empresas cuyos sistemas fueron violados rara vez hicieron público el evento y si la información sobre estos eventos alguna vez se discutió públicamente, generalmente fue años después del evento y se revelaron pocos detalles específicos más allá de la naturaleza del ataque.
Pero eso ha ido cambiando a medida que los ciberataques se han vuelto más descarados y amenazan al público en general. Por ejemplo, el 5 de febrero de 2021, nos enteramos de la intrusión de acceso remoto en el sistema de control en una instalación de tratamiento de agua en Oldsmar, Florida, a unas 13 millas del Estadio Raymond James en Tampa, donde se llevó a cabo el Super Bowl solo dos días después.
Como observador de la industria, uno de los aspectos más impactantes del hack de Oldsmar es que lo único que lo detuvo fue un operador observador que notó algunos cambios inusuales en el sistema de control de la instalación. Aunque se permitió el acceso remoto a este sistema, aparentemente no se empleó autenticación de usuario o métodos de seguridad de alto nivel para restringir el acceso de usuarios no autorizados. Y debido a que el operador que notó los cambios no recibió alertas sobre ellos (simplemente se dio cuenta de que los cambios que se estaban realizando eran inusuales), no es descabellado suponer que la instalación tampoco tenía implementadas tecnologías efectivas de detección de anomalías o intrusión.
Recientemente, la banda de delitos cibernéticos DarkSide se atribuyó la responsabilidad de comprometer a Colonial Pipeline Company, uno de los oleoductos más grandes de Estados Unidos. Como resultado, se están experimentando cortes de combustible en todos los estados del este de los Estados Unidos. Abastecidos por Colonial Pipeline. Si bien aún no conocemos todos los detalles de cómo DarkSide comprometió la red de Colonial Pipeline, sí sabemos que se trata de un ataque de secuestro de datos que implica el robo de casi 100 gigabytes de datos de la red de TI de la empresa. La información emitida por Colonial indica que su red OT (tecnología de operaciones) no se vio afectada.
Asesoramiento para la industria
Teniendo en cuenta el aumento continuo de los ataques cibernéticos a la industria, Ron Brash, director de conocimientos sobre ciberseguridad de Verve Industrial, un proveedor de sistemas de seguridad de sistemas de control industrial, destacó cinco áreas clave de enfoque para ayudar a las empresas industriales a mitigar la amenaza de una violación cibernética que afecta a sus operaciones. "El impacto financiero de un cierre puede ser significativo", dijo. "La cibernética ahora debe ser un componente principal de toda la planificación de recuperación ante desastres y debe convertirse en un área más amplia de enfoque de la administración, incluso para las organizaciones que no se ven a sí mismas como un objetivo natural".
Sus recomendaciones para enfocar efectivamente la ciberseguridad industrial son:
Ron Brash, director de conocimientos en ciberseguridad en Verve Industrial.Tenga en cuenta que la ciberseguridad industrial no es TI frente a OT, ya que las operaciones pueden verse afectadas por ataques en ambos lados del sistema. “Las organizaciones deben trabajar para unir estas dos organizaciones para proteger todo el sistema. Los sistemas de facturación y fijación de precios y los datos necesarios para operarlos son procesos críticos, tan críticos como la red SCADA que opera las bombas y válvulas. La visibilidad y protección en todo el panorama de TI-OT es clave para proteger las operaciones”, dijo.
Las mayores brechas de seguridad en las empresas industriales tienden a estar en la gestión y el mantenimiento de la seguridad. “Pueden existir cortafuegos, pero el personal ha ajustado la configuración de las reglas para permitir el acceso remoto y ha creado servidores que rodean las capas de protección críticas; Pueden existir políticas de parcheo, pero las tareas manuales que a menudo son estándar no se completan debido a la urgencia de las operaciones; y pueden existir configuraciones estándar seguras, pero se hacen excepciones, los usuarios las ajustan, se permite nuevo software y se abren puertos, dejando huecos en esa estructura segura”, dijo Brash. "[Pero a menudo] no hay una visibilidad central de estas brechas".
También señaló que la disponibilidad de copias de seguridad sólidas y oportunas puede reducir significativamente el tiempo de inactividad en caso de un ataque de secuestro de datos. “¿Pero estas copias de seguridad están actualizadas? ¿Se restauran rápidamente? Sin la administración, es posible que las copias de seguridad que pensaba tener no estén listas en caso de emergencia”, dijo.
La respuesta y la recuperación rápidas son fundamentales. La ventaja real que puede tener una empresa es la capacidad inmediata de tomar acciones en los puntos finales (TI u OT) para detener la propagación del malware, dijo Brash. "Esta integración de acciones de detección y respuesta permite a las organizaciones industriales reducir significativamente la propagación y el costo de los ataques de secuestro de datos".
Tenga un plan para un cierre consciente. Brash explicó que tener un plan de "apagado consciente" para evitar un incidente de OT mientras se equilibra la pérdida es una alternativa aceptable a un incidente mayor. “Incidentes como la crisis de Colonial se han convertido en la nueva norma dentro de la comunidad de ciberseguridad de infraestructura crítica”, dijo. "Como tal, las organizaciones deben estar adecuadamente capacitadas y preparadas para manejar incidentes como este a través de un procedimiento bien definido".
Brash señaló que la capacidad de consolidar el estado de seguridad en todos los sistemas en una base de datos común para rastrear y garantizar que se mantengan las protecciones es fundamental para una protección sólida de ciberseguridad. “Los propietarios deben parchear, segmentar, fortalecer las configuraciones, garantizar las copias de seguridad adecuadas y limitar el acceso al mínimo privilegio”, dijo. "Estos elementos básicos y fundamentales de la seguridad pueden marcar la diferencia entre ser una víctima o una que no lo sea".
Seguridad del dispositivo de IoT
El aumento general de los ataques cibernéticos que amenazan a la industria subraya el hecho de que "la seguridad no puede ser una ocurrencia tardía, sino que debe diseñarse y planificarse en cada paso", dijo Chris Hickman, director de seguridad de Keyfactor, un proveedor de tecnología criptográfica utilizada para prevenir cortes de red e identidades de máquinas seguras en empresas de múltiples nubes y cadenas de suministro de IoT. “Una buena seguridad rara vez se puede actualizar, especialmente cuando se trata de dispositivos de IoT. Debe incorporarse como un elemento fundamental y planificarse para superar la vida útil prevista del producto que está asegurando ".Chris Hickman, director de seguridad de Keyfactor.
Mark Thompson, vicepresidente de gestión de productos de Keyfactor.Mark Thompson, vicepresidente de gestión de productos de Keyfactor, destacó tres errores comunes que esta firma considera que se cometen en la industria, ya que se relacionan con la seguridad de los dispositivos de IoT y cómo evitarlos:
· Codificación de credenciales en el dispositivo: algunos dispositivos de IoT están limitados debido a credenciales codificadas, dijo Thompson. “Este es un resultado común cuando los fabricantes incorporan contraseñas o claves compartidas en el firmware para ayudar a simplificar el desarrollo o la implementación a escala. Si [estas claves] se filtran accidentalmente, los actores de amenazas o las personas sin la autoridad adecuada pueden acceder a una flota completa de dispositivos ". Para evitar este problema, Thompson recomienda utilizar una autenticación mutua sólida entre cualquier dispositivo o aplicación conectados dentro de la implementación general.
· Firmware sin firmar: muchos dispositivos de IoT salen al mercado con firmware sin firmar, según Thompson. Este problema solo aumenta a medida que se conectan más dispositivos y necesitan firma de firmware. "Se recomienda encarecidamente que los fabricantes de dispositivos firmen el firmware con un certificado de firma de código estrictamente controlado que solo permita el acceso a personas autorizadas", dijo. “Otro paso crítico es mantener un seguimiento de auditoría interna de todas las actividades de firma de código. El uso de un par de claves pública-privada de confianza es el medio más eficaz para proteger el firmware del dispositivo y tener la capacidad de verificar y chequear la firma del dispositivo antes de iniciar el dispositivo o instalar actualizaciones de firmware ".
· Autenticación y cifrado débiles: "La implementación de claves y algoritmos criptográficos sólidos que coincidan con las aplicaciones de casos de uso del dispositivo es fundamental para fortalecer su seguridad a largo plazo", dijo Thompson. “Igualmente importante es garantizar la suficiente entropía para producir una clave de cifrado; la aleatoriedad en la generación de claves es una prioridad a través de este proceso".
Ron Brash, director de conocimientos en ciberseguridad en Verve Industrial.
