Inteligencia de amenazas y el desafío de seguridad en sistemas ICS y SCADA
Share
Por: José María Gómez de la Torre
Conoce a tu adversario
Si usted no comprende quién es su adversario, no puede eliminarlo, ni a los riesgos que este le plantea. Los agresores en Internet se han vuelto más estratégicos y sofisticados en lanzar ataques persistentes dirigidos contra las organizaciones, por lo que, para lograr una ciberseguridad efectiva, son esenciales el conocimiento y la inteligencia respecto del atacante.
La psicología detrás de las motivaciones y estrategias del atacante no es una tarea fácil, sin embargo, aprender a identificar ciertos tipos de características y hábitos de los atacantes ayudará a los analistas de seguridad a seguir un camino más lógico y expedito. Conocer las motivaciones del adversario, así como las nuevas tácticas, técnicas y procedimientos, en un modo de aprendizaje continuo y automatizado, permitirá estar un paso más cerca de identificar las amenazas lanzadas contra las organizaciones.
Inteligencia de Amenazas
No se debe confundir la inteligencia de amenazas con las listas negras o de reputación de direcciones IP o dominios, muy comúnmente utilizadas desde hace muchos años atrás. La inteligencia de amenazas recoge todos los indicadores de amenazas y predice de manera analítica, mediante un esquema automatizado de aprendizaje, los posibles ataques de los que se puede ser víctima.
Realmente son muy pocas las empresas que tienen la capacidad de ofrecer una verdadera inteligencia de amenazas, aquellas que lo hacen, normalmente son las más maduras y con el mayor nivel de experticia en el mercado de la seguridad de la información, tanto del sector financiero, infraestructuras críticas, como de gobierno.
La inteligencia de amenazas no es una bola de cristal que lo predice todo con infalibilidad infinita, realmente es un nuevo e innovador elemento de analítica de datos con alta tecnología e interacción humana, cuya eficacia depende del buen manejo técnico, a través de una adecuada selección de las fuentes de información, suficiente capacidad de procesamiento y almacenamiento de “big data” en tiempo real, así como de la analítica con inteligencia artificial necesaria para lograr resultados efectivos.
Aliados estratégicos
Para un mejor aprovechamiento de la inteligencia de amenazas, se debe contar con los tradicionales Centros de Operación de Seguridad (SOC), que son los llamados a incorporar este tipo de tecnología y tienen la finalidad de lograr una mayor visibilidad de eventos e incidentes de seguridad, evitando los falsos positivos en alertas de seguridad.
Además de contar con una mayor visibilidad, el SOC que cuenta con inteligencia de amenazas, aumenta su capacidad y rapidez en la repuesta a incidentes de seguridad, lo que le permite tecnológicamente favorecer la labor del centro de respuesta a incidentes informáticos (CSIRT), con los consiguientes beneficios para sus clientes, los que ya no solo serán alertados por sus vulnerabilidades y potenciales amenazas, sino que también podrán ser asistidos en la mitigación de incidentes de seguridad digital que se hayan dado por un ataque persistente avanzado.
Apoyarse en expertos, siempre es la mejor alternativa, actualmente la ciberseguridad exige un alto grado de especialización profesional, procedimientos, así como equipamiento de hardware y software.
Debido a que hay muchas amenazas potenciales y datos que podrían respaldar un ataque, lo recomendable es que los expertos en seguridad realicen auditorías de seguridad periódicas, que permitan conocer el estado real de la seguridad de la organización; sin embargo, los analistas de seguridad se enfrentan al desafío de sobrecarga de información y a la dificultad de identificar los eventos efectivos de seguridad.
El objetivo del análisis de amenazas es proporcionar la inteligencia que permita a las organizaciones identificar los ataques que ponen en riesgo su operación antes de que le afecten, de esta forma permitir que el negocio se desarrolle de forma transparente, resiliente y eficiente, con el consecuente beneficio del aumento de las ganancias y la participación en el mercado. Pese a que la inteligencia contra amenazas se vuelve más factible en nuestro país, las organizaciones siguen teniendo como norma perseguir las amenazas por su cuenta, sin contar con un aliado estratégico.
El desafío de seguridad en OT
Históricamente, las redes de Tecnología Operativa (OT) estaban completamente separadas de las redes de IT corporativas. Por razones comerciales o de mejoras tecnológicas, ahora estas redes están conectadas, lo que incrementa exponencialmente los riesgos al abrir nuevas vías expeditas para que los atacantes accedan a los sistemas industriales. El endurecimiento y la defensa de los sistemas ICS y SCADA plantean un conjunto de desafíos a este nuevo problema:
1) Las redes de OT están llenas de sistemas heredados con vulnerabilidades no parchadas que pueden ser explotadas.
2) Existe un miedo latente a la interrupción del negocio, lo cual retrasa las actualizaciones y reajustes. Los atacantes se centran en objetivos fáciles, como aquellos que no han sido endurecidos.
3) El mantenimiento y la defensa de las redes OT requieren conocimientos técnicos especializados que no forman parte del conjunto de habilidades de los expertos en seguridad de IT tradicionales.
4) Las amenazas persistentes avanzadas se centran en los empleados con accesos privilegiados al sistema, por lo que estarán más expuestos a ataques de ingeniería social.
Inteligencia de amenazas para la defensa de sistemas ICS / SCADA
Actualmente Grupo Radical a través de su SOC/CSIRT ofrece analítica de inteligencia de amenazas para mejorar las medidas de mitigación contra muchos riesgos de seguridad, incluidas las amenazas a los sistemas ICS/SCADA, también cuenta con la capacidad de proporcionar esta inteligencia de amenazas en tiempo real al analizar miles de millones de eventos informados directamente desde la Web.
También verifica patrones de comportamiento basados en inteligencia artificial que se incorporan a esta capacidad de inteligencia de amenazas, específicamente para la defensa activa de las infraestructuras críticas, evitando el comprometimiento de los sistemas ICS/SCADA.
Las alertas personalizadas y las visualizaciones interactivas muestran y revelan amenazas emergentes, que los analistas de seguridad con especialización en inteligencia de amenazas pueden profundizar, así como obtener rápidamente una comprensión de las amenazas relacionadas con los sistemas ICS/SCADA dentro del contexto de su operación y facultar a su equipo para bloquear ataques antes de que ocurran los incidentes de seguridad.
Pasos para proteger la infraestructura crítica
Para proteger cualquier sistema de infraestructura ICS/SCADA se debería considerar un ciclo continuo de prevención y remediación, frente a amenazas y vulnerabilidades, que ponen en riesgo la infraestructura crítica, conforme se explica en el siguiente resumen:
1) ¿Qué debo hacer si mi empresa está en riesgo?
- Análisis permanente de vulnerabilidades y amenazas avanzadas, tipo “Red Team”.
- Evaluación de la salud del sistema ICS/SCADA así como los niveles de integración OT/IT/IoT.
2) ¿Realmente estoy preparado?
- Evaluación del programa de seguridad de operación y contingencia, considerando el nivel de madurez en su implantación y continuidad del negocio.
- Evaluación del nivel de preparación para la aplicación del plan de respuesta a incidentes de seguridad IT/IoT/OT.
- Evaluación del SOC/SCIRT, considerando si dispone de un mecanismo adecuado de inteligencia de amenazas para sistemas ICS/SCADA.
3) ¿Hay un compromiso organizacional en seguridad?
- Evaluación de compromiso considerando toda la cadena de valor organizacional, sus políticas, procedimientos en torno a la seguridad necesaria para proteger la infraestructura crítica.
4) ¡Lograron burlar las seguridades preventivas!
- Respuesta inmediata a incidentes en los términos del SLA más favorable.
- Remediación y mitigación del incidente de seguridad en profundidad.
5) Preparación continua para nuevos riesgos
- Desarrollo del Centro de Defensa Cibernética OT de la organización (CDC).
- Transformación del SOC/CSIRT a uno de nueva generación con capacidades de gestión automatizada y cognitiva de la inteligencia de amenazas.
- Biblioteca y playbooks de respuesta a incidentes de seguridad, generados de las lecciones aprendidas y de la cooperación con otros CSIRT.
- Educación y concientización permanente.
- Despliegue, integración y evaluación de políticas y procedimientos de seguridad digital IT/OT/IoT, continuidad del negocio y recuperación ante desastres tecnológicos.