in

Cómo los actores de amenazas ingresan a los sistemas de TO



En el pasado, los atacantes cibernéticos ignoraban en gran medida los sistemas de ingeniería industrial (OT), como los sistemas de control industrial y los sistemas SCADA, porque era difícil acceder a información patentada o sistemas OT que no estaban conectados a redes externas y los datos no eran fáciles de infiltrar.

Pero ese ya no es más el caso. Hoy en día, muchos sistemas industriales están conectados a redes corporativas con acceso a Internet y utilizan de todo, desde sensores en red hasta análisis de big data para impulsar mejoras operativas. Esta convergencia e integración de OT y TI ha dado como resultado un número creciente de riesgos cibernéticos, incluidos los incidentes cibernéticos efectivos e impactantes tanto en TI como en OT.

Las amenazas de ciberseguridad en el mundo de OT son diferentes de las amenazas de TI en que el impacto va más allá de la pérdida de datos, dañar su reputación o erosionar la confianza del cliente. Un incidente de ciberseguridad de OT puede resultar en pérdida de producción, daños al equipo y contaminación ambiental. La defensa de OT de los ataques cibernéticos requiere herramientas y estrategias diferentes a la protección de TI. Veamos cómo las amenazas de ciberseguridad a menudo encuentran su camino hacia el entorno protegido de OT.

2 vectores principales en OT

Hay dos vectores principales que el malware puede utilizar para infiltrarse en una instalación de fabricación segura en un entorno OT: 1) a través de la red; o 2) a través de dispositivos y medios extraíbles.

Los atacantes pueden ingresar a un sistema OT mediante la explotación de activos cibernéticos a través de firewalls en redes enrutables. Las mejores prácticas adecuadas de la red de OT, como la segmentación de la red, la autenticación sólida y varias zonas de firewall, pueden contribuir en gran medida a prevenir un incidente cibernético.

El malware BlackEnergy, utilizado en el primer ataque cibernético dirigido registrado a una red eléctrica, comprometió a una empresa de electricidad a través de correos electrónicos de spear phishing enviados a los usuarios del lado de TI de las redes. A partir de ahí, el actor de la amenaza podría pasar a la red OT crítica y utilizar el sistema SCADA para abrir interruptores automáticos en subestaciones. Se dice que este ataque provocó que más de 200.000 personas se quedaran sin electricidad durante seis horas.

Si bien el término «sneakernet» puede parecer nuevo o incómodo, se refiere al hecho de que dispositivos como unidades USB y disquetes solo se pueden usar para eliminar físicamente información y amenazas a las redes OT críticas y los sistemas de espacio de aire del ciber – Cargar atacantes al sistema y conectarlos al sistema correspondiente.

Los dispositivos USB continúan siendo un desafío, especialmente porque las empresas confían cada vez más en estos dispositivos de almacenamiento portátiles para transferir parches, recopilar registros y más. El USB es a menudo la única interfaz compatible con teclados y ratones, por lo que no se puede deshabilitar, lo que deja habilitados los puertos USB libres. Como resultado, existe el riesgo de que se utilicen dispositivos de terceros en las mismas máquinas que queremos proteger. Se sabe que los piratas informáticos colocan unidades USB infectadas dentro y alrededor de las instalaciones que están atacando. Luego, los empleados a veces encuentran estas unidades comprometidas y las conectan a un sistema, porque esta es la única forma de determinar qué hay en una de ellas, incluso sin etiquetas como «resultados financieros» o «cambios de personal».

Stuxnet es quizás el ejemplo más notorio de malware que se introduce en una instalación de espacio de aire a través de USB. Este gusano informático extremadamente especializado y sofisticado se cargó en una instalación nuclear con espacio de aire para alterar su programación PLC (controladores lógicos programables). El resultado final fue que las centrifugadoras giraron demasiado rápido durante demasiado tiempo, lo que finalmente resultó en daños físicos al equipo.

Hoy más que nunca, los entornos de fabricación están expuestos a amenazas de ciberseguridad de dispositivos USB maliciosos que pueden evitar la brecha de aire y otras medidas de seguridad para interrumpir las operaciones desde el interior. El Informe de amenazas USB de ciberseguridad industrial de Honeywell de 2021 encontró que el 79% de las amenazas detectadas por los dispositivos USB tienen el potencial de causar interrupciones en el TO, incluida la pérdida de visión y control.

El mismo informe encontró que el uso de USB aumentó en un 30%, mientras que muchas de estas amenazas de USB (51%) intentaban obtener acceso remoto a una instalación de espacio de aire protegida. En 2020, Honeywell revisó los datos anonimizados de su motor de investigación y defensa de análisis global (GARD), que analiza el contenido basado en archivos, valida cada archivo y detecta malware y amenazas transmitidas hacia o desde sistemas OT reales a través de USB.

TRITON es el primer uso documentado de malware diseñado para atacar sistemas de seguridad en una instalación de producción. Un sistema relacionado con la seguridad (SIS) es la última línea de seguridad industrial automatizada diseñada para evitar fallas en los equipos e incidentes catastróficos como explosiones o incendios. Los atacantes primero penetraron en la red de TI antes de penetrar en la red de OT a través de sistemas que eran accesibles para ambos entornos. Una vez en la red OT, los piratas informáticos infectaron la estación de trabajo de ingeniería para SIS con el malware TRITON. El resultado final de TRITON es que un SIS podría cerrarse y las personas en una instalación de producción podrían estar en peligro.

Los dispositivos físicos también pueden provocar incidentes cibernéticos

No solo debemos estar atentos a las amenazas basadas en el contenido. Un mouse, un cable u otros dispositivos también se pueden usar como arma contra OT.

En 2019, los agentes malintencionados atacaron a una persona de confianza con acceso a una red de control. Este usuario autorizado, sin saberlo, cambió un mouse real por el mouse armado. Una vez conectado a la red crítica, alguien tomó el control de la computadora de forma remota y lanzó el ransomware.

La central eléctrica pagó el rescate; Sin embargo, no recuperaron sus archivos y tuvieron que reconstruir, lo que afectó la instalación durante tres meses. Es importante que sepa de dónde provienen sus dispositivos antes de usarlos.

3 pasos para defenderse de las amenazas cibernéticas

Las amenazas cibernéticas están en constante evolución. Primero, programe una revisión periódica de su estrategia, políticas y herramientas de ciberseguridad para vigilar estas amenazas. En segundo lugar, las amenazas de uso de USB están aumentando. Por lo tanto, es importante evaluar el riesgo para sus operaciones de OT y la efectividad de sus protecciones actuales para dispositivos USB, puertos y su control.

Por último, se recomienda encarecidamente una estrategia de defensa en profundidad. Esta estrategia debe poner capas de herramientas y políticas de ciberseguridad de OT para brindarle a su empresa la mejor oportunidad de protegerse de las amenazas cibernéticas en constante evolución.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Guardias del Tesoro de EE. UU. Falsificados por estafadores de activos: ¡no caiga en la trampa! – Pura seguridad

Actualización para Windows 10 KB5007253 con correcciones para impresión en red lanzadas