Tendencias de seguridad para sistemas ICS y Scada
¿Qué tipo de ataques pueden esperar los administradores de infraestructuras ICS y sistemas Scada? Aquí algunas ideas al respecto...
Los sistemas de control industrial (ICS) son el "sistema nervioso" sobre el que corren las operaciones de las instalaciones de servicios o producción, desde las líneas de montaje robotizadas hasta los sistemas de climatización a las centrales eléctricas. A su vez, SCADA es la tecnología de uso intensivo de datos en las fábricas o sistemas de producción.
Recientemente ya se han dado a conocer amenazas dirigidas expresamente a este tipo de infraestructuras, de las cuales dependen servicios básicos como el suministro de energía, gas o agua de una ciudad. Ya nada escapa a los ataques cibernéticos.
Durante un seminario realizado por RecordedFuture y Cimation, los analistas de seguridad Eddie Ferguson y Brian Wilson, especializados en inteligencia de amenazas cibernéticas, expusieron lo que consideran las principales tendencias de seguridad que deben ser prioridad para los defensores de los sistemas ICS/SCADA.
Esta información se divulgó durante la conferencia anual de usuarios de RecordedFuture, y posteriormente se publicó en el blog de la compañía. Aquí le compartimos un resumen traducido de estas tendencias.
OT e integración en red de TI
Tradicionalmente, hubo una separación completa entre la red de tecnología operativa (OT) –que se refiere a los dispositivos y procesos de control– y la tecnología de la información (TI) de la red –es decir, las aplicaciones empresariales y de escritorio. Hoy en día, las empresas están reduciendo el aislamiento de los equipos de la red para obtener beneficios como la monitorización remota y administración –y, como una consecuencia desafortunada, asumiendo mayores riesgos de seguridad cibernética.
Eddie y Brian hicieron hincapié en la importancia del diseño de redes seguras y de seguir los estándares como NIST SP 800-82 para evitar incidentes graves.
Reutilización de malware y métodos de ataque probados
Las redes de OT están llenas de sistemas heredados con vulnerabilidades sin parches. Esto se debe por la economía de tiempo de inactividad de la producción y los riesgos de parchear los sistemas informáticos frágiles.
Eddie y Brian identificaron que los atacantes invierten en métodos de malware y de ataque para ciertos objetivos de la industria financiera o de la defensa. Mucho después de que esos objetivos han endurecido sus defensas, las mismas vulnerabilidades permanecen en redes OT –lo que significa que el malware es una base económica para nuevos ataques.
Más allá del malware, un mayor uso de ataques tipo agujeros de riego también es parte de esta tendencia. La "seguridad por oscuridad" de las tecnologías Scada/ICS permite a los atacantes darle la vuelta al script, al envenenar los sitios web que se centran precisamente en este nicho de interés, y por lo tanto son frecuentados por los gestores de ICS.
Espionaje industrial
Aunque los ataques cibernéticos podrían sabotear infraestructuras críticas plantean un alto riesgo, aún siguen siendo hipotéticos. Su probabilidad real y el impacto de negocios son difíciles de evaluar.
Sin embargo, Eddie y Brian señalaron que hay un motivo menos sensacionalista, pero muy convincente para los ataques contra los sistemas Scada/ICS, que es la ganancia económica a través del espionaje industrial. Hay una enorme brecha entre los líderes y los rezagados en las industrias manufactureras y de producción, por lo que los hallazgos que permitan cerrar esa brecha tienen un gran valor económico. El objetivo del atacante para penetrar en la red OT podría ser un movimiento lateral en la red informática para el robo de propiedad intelectual convencional de documentos de ingeniería, o más directamente para alterar el diseño del proceso industrial en los datos de supervisión.