Autor:
José María Gómez de la Torre
Grupo Radical
Conoce a tu adversario
Si usted no comprende quién es su adversario, no puede eliminarlo, ni a los riesgos que este le plantea. Los agresores en Internet se han vuelto más estratégicos y sofisticados en lanzar ataques persistentes dirigidos contra las organizaciones, por lo que, para lograr una ciberseguridad efectiva, son esenciales el conocimiento y la inteligencia respecto del atacante.
Inteligencia de Amenazas
No se debe confundir la inteligencia de amenazas con las listas negras o de reputación de direcciones IP o dominios, muy comúnmente utilizadas desde hace muchos años atrás. La inteligencia de amenazas recoge todos los indicadores de amenazas y predice de manera analítica, mediante un esquema automatizado de aprendizaje, los posibles ataques de los que se puede ser víctima.
Aliados estratégicos
Para un mejor aprovechamiento de la inteligencia de amenazas, se debe contar con los tradicionales Centros de Operación de Seguridad (SOC), que son los llamados a incorporar este tipo de tecnología y tienen la finalidad de lograr una mayor visibilidad de eventos e incidentes de seguridad, evitando los falsos positivos en alertas de seguridad.
El objetivo del análisis de amenazas es proporcionar la inteligencia que permita a las organizaciones identificar los ataques que ponen en riesgo su operación antes de que le afecten, de esta forma permitir que el negocio se desarrolle de forma transparente, resiliente y eficiente, con el consecuente beneficio del aumento de las ganancias y la participación en el mercado. Pese a que la inteligencia contra amenazas se vuelve más factible en nuestro país, las organizaciones siguen teniendo como norma perseguir las amenazas por su cuenta, sin contar con un aliado estratégico.
El desafío de seguridad en OT
Históricamente, las redes de Tecnología Operativa (OT) estaban completamente separadas de las redes de IT corporativas. Por razones comerciales o de mejoras tecnológicas, ahora estas redes están conectadas, lo que incrementa exponencialmente los riesgos al abrir nuevas vías expeditas para que los atacantes accedan a los sistemas industriales.
El endurecimiento y la defensa de los sistemas ICS y SCADA plantean un conjunto de desafíos a este nuevo problema los cuales se detatlla a continuación:
1) Las redes de OT están llenas de sistemas heredados con vulnerabilidades no parchadas que pueden ser explotadas.
2) Existe un miedo latente a la interrupción del negocio, lo cual retrasa las actualizaciones y reajustes. Los atacantes se centran en objetivos fáciles, como aquellos que no han sido endurecidos.
3) El mantenimiento y la defensa de las redes OT requieren conocimientos técnicos especializados que no forman parte del conjunto de habilidades de los expertos en seguridad de IT tradicionales.
4) Las amenazas persistentes avanzadas se centran en los empleados con accesos privilegiados al sistema, por lo que estarán más expuestos a ataques de ingeniería social.
Inteligencia de amenazas para la defensa de sistemas ICS / SCADA
Actualmente Grupo Radical a través de su SOC/CSIRT ofrece analítica de inteligencia de amenazas para mejorar las medidas de mitigación contra muchos riesgos de seguridad, incluidas las amenazas a los sistemas ICS/SCADA, también cuenta con la capacidad de proporcionar esta inteligencia de amenazas en tiempo real al analizar miles de millones de eventos informados directamente desde la Web.
También verifica patrones de comportamiento basados en inteligencia artificial que se incorporan a esta capacidad de inteligencia de amenazas, específicamente para la defensa activa de las infraestructuras críticas, evitando el comprometimiento de los sistemas ICS/SCADA.
Pasos para proteger la infraestructura crítica
Para proteger cualquier sistema de infraestructura ICS/SCADA se debería considerar un ciclo continuo de prevención y remediación, frente a amenazas y vulnerabilidades, que ponen en riesgo la infraestructura crítica, conforme se explica en el siguiente resumen:
1) ¿Qué debo hacer si mi empresa está en riesgo?
- Análisis permanente de vulnerabilidades y amenazas avanzadas, tipo “Red Team”.
- Evaluación de la salud del sistema ICS/SCADA así como los niveles de integración OT/IT/IoT.
2) ¿Realmente estoy preparado?
- Evaluación del programa de seguridad de operación y contingencia, considerando el nivel de madurez en su implantación y continuidad del negocio.
- Evaluación del nivel de preparación para la aplicación del plan de respuesta a incidentes de seguridad IT/IoT/OT.
- Evaluación del SOC/SCIRT, considerando si dispone de un mecanismo adecuado de inteligencia de amenazas para sistemas ICS/SCADA.
3) ¿Hay un compromiso organizacional en seguridad?
- Evaluación de compromiso considerando toda la cadena de valor organizacional, sus políticas, procedimientos en torno a la seguridad necesaria para proteger la infraestructura crítica.
4) ¡Lograron burlar las seguridades preventivas!
- Respuesta inmediata a incidentes en los términos del SLA más favorable.
- Remediación y mitigación del incidente de seguridad en profundidad.
5) Preparación continua para nuevos riesgos
- Desarrollo del Centro de Defensa Cibernética OT de la organización (CDC).
- Transformación del SOC/CSIRT a uno de nueva generación con capacidades de gestión automatizada y cognitiva de la inteligencia de amenazas.
- Biblioteca y playbooks de respuesta a incidentes de seguridad, generados de las lecciones aprendidas y de la cooperación con otros CSIRT.
- Educación y concientización permanente.
- Despliegue, integración y evaluación de políticas y procedimientos de seguridad digital IT/OT/IoT, continuidad del negocio y recuperación ante desastres tecnológicos.