Durante el año pasado, los ataques de ransomware a la infraestructura crítica de EE. UU., Desde los ataques generalizados a las instalaciones de agua hasta el infame cierre del Colonial Pipeline en mayo, han puesto la ciberseguridad de los entornos industriales en el centro de atención, y está claro que el problema tiene múltiples facetas.
Primero, estos ataques ya no son lanzados solo por estados nacionales, sino también por actores de amenazas subordinados en busca de ganancias financieras. En segundo lugar, los sistemas de tecnología operativa (OT) no tienen que ser atacados directamente o incluso comprometidos para que se apaguen. Por ejemplo, solo los sistemas de TI se vieron comprometidos en el ataque al Colonial Pipeline, pero los equipos de seguridad tomaron la cuidadosa decisión de cerrar deliberadamente OT.
Además del ransomware, la infraestructura crítica está expuesta a una variedad de otras amenazas, incluidas las amenazas de personas internas malintencionadas o descuidadas (como el incidente de la instalación de agua de abril de Kansas) y atacantes que utilizan herramientas de acceso remoto (como el incidente de la instalación de agua de Florida en febrero). La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió recientemente una advertencia de que las amenazas cibernéticas están aumentando en todas las áreas de la infraestructura crítica.
Desafortunadamente, aunque los ataques avanzados se dirigen a estos sistemas vitales y sensibles a diario, muchas empresas con infraestructuras críticas todavía están luchando por obtener información básica sobre sus entornos, y mucho menos equiparse con las tecnologías que necesitan para hacer frente a ataques a velocidad de máquina como ransomware para detener.
Conducción con los ojos vendados: identificación de activos en entornos industriales
Los ciberataques a infraestructuras críticas conllevan grandes riesgos para la estabilidad económica y social, así como para la seguridad de las personas y el medio ambiente. Sin embargo, las precauciones de seguridad para proteger OT y los sistemas de control industrial (ICS), que sustentan gran parte de esta infraestructura, van a la zaga de los enfoques de seguridad de TI.
Esta brecha de madurez entre la seguridad de OT y TI a menudo significa que las organizaciones luchan por identificar todos los activos en sus entornos de OT. Para estos defensores de la seguridad, esto es el equivalente a conducir con los ojos vendados mientras navegan por el panorama de amenazas actual. Es simplemente imposible desarrollar una estrategia sólida de ciberseguridad si una empresa ni siquiera sabe lo que está protegiendo.
Este desafío se ve agravado por el hecho de que muchas de estas organizaciones tienen entornos en constante evolución. Los esfuerzos para modernizar las infraestructuras críticas llevaron a la convergencia de los sistemas de TI y OT y a la adopción generalizada del Internet industrial de las cosas (IIoT). La mayor complejidad hace que sea aún más difícil obtener una imagen clara de lo que está sucediendo en el ecosistema de infraestructura crítica.
No más con los ojos vendados: identifique activamente los dispositivos con IA
La IA de autoaprendizaje de Darktrace adopta un enfoque radicalmente diferente a este problema, ofreciendo un amplio conjunto de capacidades de identificación de activos que ayudan a las organizaciones a ver lo que está sucediendo en su entorno. La tecnología de Darktrace no es ajena a un entorno OT: nuestro primer cliente fue Drax, una gran planta de energía del Reino Unido.
La mayoría de las redes OT no revelan las identidades de sus dispositivos en el transcurso del tráfico de la red, lo que dificulta la transparencia total. Al conectarse activamente a los dispositivos ICS, AI puede obtener información sobre su información de identidad completa, como el tipo de dispositivo, el nombre de host, el modelo, el firmware y otros datos diversos, como el código del producto o la versión del hardware.
Al mismo tiempo, los entornos de OT a menudo contienen computadoras y máquinas altamente sensibles, muchas de las cuales ejecutan software antiguo o desactualizado. En un entorno donde la continuidad del negocio es de suma importancia, se deben evitar las posibles interrupciones de este equipo siempre que sea posible.
Por lo tanto, una herramienta de seguridad diseñada para obtener información de forma activa de los dispositivos OT debe hacerlo lo más cerca posible. Si no se hace con cuidado, una sola solicitud de identidad enviada a una computadora con décadas de antigüedad puede potencialmente deshabilitar el dispositivo, lo que a su vez puede interrumpir el proceso más amplio que se basa en él.
Debido a esto, la IA de autoaprendizaje solo responderá a la información obtenida a través del monitoreo pasivo de la red. La información obtenida de esta manera se utiliza para crear paquetes cuidadosamente diseñados utilizando el protocolo y el puerto óptimos para interrogar a los dispositivos con un riesgo mínimo. El sistema es altamente configurable y permite a los técnicos y equipos de seguridad locales anular la IA y excluir dispositivos que se sabe que son muy críticos o sensibles a conexiones inesperadas.
De este modo, AIque usan información obtenida pasivamente a través de protocolos y puertos que ya están en uso en dispositivos OT e ICS pueden solicitar activamente información del dispositivo de la manera más restringida posible, minimizando el riesgo inherente de un enfoque activo. La IA de autoaprendizaje ayuda a las organizaciones con infraestructura crítica a quitarse la venda de los ojos – pero manejalo responsablemente.
Mapeo de puntos débiles: necesario, pero no suficiente
Además de identificar activos, muchas empresas tienen dificultades para rastrear y mapear vulnerabilidades y exposiciones comunes (CVE), tanto para su propia visibilidad como para garantizar el cumplimiento de marcos, regulaciones o pautas gubernamentales. Como lo expresó el gobierno de Biden en su último memorando de seguridad nacional, «No podemos abordar las amenazas que no podemos ver».
El mapeo y parcheo de vulnerabilidades es necesario, pero no suficiente. Las CVE son solo vulnerabilidades conocidas e investigadas, de las cuales muy pocas se investigan en el área de OT. Su ausencia no significa que no haya riesgo. Además, muchos CVE no tienen recomendaciones prácticas de mitigación.
Por el contrario, la IA de autoaprendizaje no necesita listas de CVE para detectar amenazas, investigarlas y reaccionar ante ellas de forma autónoma. Más bien, su enfoque de la defensa cibernética depende de aprender los «patrones de vida» de una organización para comprender formas sutiles de comportamiento inusual que pueden indicar una amenaza. Esto permite que la tecnología detecte amenazas conocidas y desconocidas, incluidos ataques sofisticados que utilizan exploits de día cero y tácticas, técnicas y procesos (TTP) novedosos.
Las infraestructuras críticas requieren tecnologías de vanguardia para una ciberdefensa sólida. Identificar activos y rastrear vulnerabilidades es un primer paso saludable. Ayudan a quitarse las vendas de los ojos, pero después de eso, las empresas necesitan tecnología que les ayude a actuar con la suficiente rapidez para vencer las amenazas sofisticadas y sigilosas a la velocidad de una máquina.
