Predicción de un ataque de TO | Durante los últimos 30 años, hemos sido testigos de cambios lentos pero constantes en el funcionamiento de la tecnología operativa (TO). Con los avances de la cuántica y los puntos de intersección de la tecnología en los entornos de fabricación y de infraestructura crítica, podemos ser más eficaces y eficientes, y al mismo tiempo alcanzar los estándares rigurosos exigidos.
Redefinición del paradigma en el área de seguridad de los activos de TO
Al mismo tiempo, y en particular durante la última década, los entornos de TO se enfrentan de forma creciente al nuevo reto de mantener entornos seguros. Tal y como hemos visto en TI, la TO está cada vez más en el punto de mira de los incidentes de seguridad que pueden afectar o desactivar las operaciones por completo. Sin embargo, se puede argumentar que el impacto de un incidente de seguridad en la TO puede tener consecuencias más duraderas y graves al día de hoy. El cierre de procesos como el tratamiento del agua, la electricidad, el transporte aéreo o la fabricación de automóviles, dispositivos médicos o alimentos son algunos ejemplos.
Tradicionalmente, la seguridad creció en una época de “gato y ratón” donde el hacker “villano” y el “héroe” de la seguridad están en un constante juego de una sola persona. La única meta de ambos es superar al otro, y así crear un juego de salto entre el ataque y la seguridad existente, diseñada para proteger el objetivo. Siempre hay organizaciones e individuos que quedan atrapados en el cerco de seguridad y se convierten en las próximas víctimas.
Filtración de datos de dispositivos
Los agentes maliciosos predicen la mayoría de los ataques dirigidos a un dispositivo particular como un servidor, un interruptor, un PLC, etc. Encontrar un dispositivo débil en una red es la meta principal del reconocimiento, por ejemplo, un dispositivo no protegido, un dispositivo que utiliza una contraseña predeterminada o un exploit con base en una vulnerabilidad sin parches. Los hackers necesitan tiempo para encontrar un punto débil en infraestructuras de gran tamaño y a menudo distribuidas. Una vez que los atacantes logran eso, ingresan, mapean tu red y llevan a cabo el ataque, todo sin que se les detecte. No es raro que el reconocimiento pueda demorar semanas o meses, y puede necesitar más tiempo que el ataque en sí.
Por el contrario, el personal de seguridad de tu organización es responsable de asegurarse de que se refuerzan los dispositivos a través de un sistema robusto para identificar los dispositivos objetivo. Por ejemplo, la gestión de acceso a auditorías, la actualización de contraseñas y/o la corrección de vulnerabilidades. En caso de producirse un ataque, las alarmas deben activarse antes de que se produzcan daños y debe ponerse en marcha un conjunto exhaustivo de medidas en el área de seguridad para repelerlo.
Seguridad clásica
La seguridad clásica incluye métodos de detección con base en lo siguiente:
Política
Permitir y rechazar conjuntos de reglas. Imagina que son leyes con actualizaciones constantes a medida que los investigadores identifican nuevas amenazas cuando se hacen realidad.
Anomalía
Señalar comportamientos anormales en el entorno. Las medidas en el área de seguridad del tipo IDS, una vez puestas a punto, pueden detectar eventuales ataques para los que aún no se ha publicado ninguna política, como es el caso de un ataque de día cero o un ataque dirigido.
Firma
Una base de datos de código abierto donde el área de seguridad colabora a medida que detectan nuevas firmas de ataque. La idea aquí es: cuantos más ojos se fijen en una amenaza, más probable es que la comunidad identifique antes los ataques. Esto a su vez, permite a la comunidad en el área de seguridad en su conjunto protegerse con cada persona que contribuye a una base de datos de ataques.
La predicción de una debilidad genera la fortaleza de la TO
Los entornos de TO afectan a todos los sectores de la sociedad moderna y no podemos vivir sin ellos. Los nuevos avances en materia de tecnología y prácticas de negocio ofrecen formas innovadoras de sacar provecho de la TO de manera más eficiente y eficaz con un ahorro considerable, pero no están exentos de riesgos. Los incidentes en el área de seguridad que tienen como objetivo los entornos de TO apenas son el comienzo. Si no se cuenta con una seguridad de los activos de TO adecuada e incorporada, estos sistemas, de los que depende la sociedad, están en riesgo evidente y manifiesto.
La seguridad de los activos de TO está atravesando un cambio de paradigma evidente. El aislamiento de redes inseguras ya no es un medio de seguridad confiable. En muchos casos, la convergencia de TI y TO, y la adopción de la tecnología de IOT eliminó completamente este aislamiento de redes. Sabemos que el hecho de esperar a que un ataque triunfe antes de implementar nuevos métodos de seguridad afecta de forma directa a la seguridad y viabilidad a largo plazo de su organización.
Los siguientes pasos
La seguridad en general está adoptando con rapidez un abordaje más proactivo para proteger los entornos de TO, incluyendo este tipo de abordaje para la identificación y la detención de los ataques antes de que se produzcan.
El conocimiento situacional exhaustivo de los dispositivos de tu entorno, la identificación de las vías de comunicación o la información de acceso ayudan a poner de relieve los puntos débiles y los posibles puntos de desembarco de nuevos ataques. Esto permite que la comunidad en el área de seguridad reduzca el riesgo y la cyber exposure. Así se fortalecerán y reforzarán las organizaciones que utilizan sistemas de TO y mejorarán su perfil de seguridad cibernética, en lugar de ocuparse de un incidente después de ocurrido.
Fuente
- Tenable.ot. (2020). Predicción de un ataque de TO. Tenable. [documento técnico]. Tenable® – The Cyber Exposure Management Company
BG2 Services
📩 mktadmin@bg2.com.mx
📞 (81) 8123 3730