¿Cuál es el papel de la respuesta a incidentes en la seguridad de ICS?
En los últimos años, el ciberespionaje ha ido creciendo en magnitud y complejidad. Uno de los objetivos más habituales son los Sistemas de Control Industrial (SCI) dentro de los sectores de infraestructura crítica.
Dado que muchas organizaciones dependen más de las redes ICS, ha habido un aumento de las amenazas y los ataques cibernéticos dirigidos a estos sistemas. Estos ataques no solo tienen un impacto económico, sino que también ponen en riesgo la seguridad nacional. Para empeorar las cosas, no existen pautas de seguridad de red ni mejores prácticas para los sistemas ICS.
Esto requiere una solución que garantice que las empresas tomen las medidas adecuadas en caso de emergencia. ¿Qué tan importante es la necesidad de Respuesta a Incidentes (IR), especialmente en seguridad ICS?
¿Qué son los Sistemas de Control Industrial (ICS)?
Los sistemas de control industrial son sistemas informáticos que supervisan y regulan el funcionamiento de las plantas de fabricación y procesamiento. A menudo se utilizan en grandes empresas, como centrales eléctricas, refinerías de petróleo, plantas químicas y otras instalaciones de fabricación. Para aclarar, no todos los sistemas industriales son parte de una gran empresa gubernamental. Algo tan sencillo como una refinería de azúcar usará ICS para regular sus operaciones. Aunque sigue siendo parte de la infraestructura crítica, una refinería azucarera, como muchas otras entidades de fabricación, a menudo se pasa por alto como anfitriones de ICS. Dado que estos sistemas de control son importantes para la funcionalidad de una planta, así como para el rendimiento de esa planta, es imperativo asegurarse de que sean seguros.
¿Cómo afecta la respuesta a incidentes la seguridad de ICS?
La respuesta a incidentes es el proceso de abordar y evaluar un evento o evento potencial para limitar su alcance, contener su daño, identificar los sistemas afectados y aprender cómo ocurrió el problema. La capacidad de reaccionar rápida y eficientemente en caso de un ciberataque es fundamental para cualquier organización.
La respuesta a incidentes es bastante diferente de la seguridad de TI general, ya que desempeña un papel más práctico, como evaluar la escena después de un ataque o contener el daño. Dado que las redes ICS son vulnerables a los ciberataques, el proceso IR es esencial para estos sistemas.
El Departamento de Seguridad Nacional de EE. UU. (DHS) ha clasificado los ICS como una subcategoría de infraestructura crítica, lo que significa que están sujetos a las mismas protecciones que otros sectores de infraestructura crítica, incluida la red eléctrica y el suministro de agua.
La seguridad de ICS ha sido un desafío para muchas organizaciones debido a su posición crítica en la estrategia de seguridad de la organización. Al implementar un plan integral de IR que incorpora el programa general de gestión de riesgos de una empresa, las organizaciones pueden proteger sus redes ICS de posibles riesgos de ciberseguridad.
¿Por qué es necesaria la respuesta a incidentes para la seguridad de ICS?
Dado que el objetivo de la respuesta a incidentes es identificar, detener y limitar rápidamente los ataques y los daños potenciales, esto es bastante beneficioso y necesario para las redes ICS. Es por eso que el Instituto Nacional de Estándares y Tecnología (NIST) ya ha desarrollado un proceso de respuesta a incidentes para ayudar a proteger a las empresas en una variedad de campos tecnológicos.
esta guía cubre una variedad de modelos de equipos de respuesta a incidentes, cómo elegir el modelo óptimo y cómo dirigir el equipo de manera efectiva. En realidad es una actividad cíclica que involucra cuatro etapas principales: Preparación, Detección/Análisis, Contención/Erradicación y Recuperación.
Preparación:
Esto implica monitorear, compilar y determinar la relevancia de los activos de TI, como la red y los servidores, para identificar los activos críticos/sensibles y prepararse para incidentes.
Detección/Análisis:
La detección incluye la recopilación de datos de sistemas de TI, herramientas de seguridad, información disponible públicamente y personas. Esto también implica predecir si un incidente ocurrirá en el futuro o si ya ocurrió.
En Análisis, las líneas de base de los sistemas afectados se identifican y vinculan a eventos relevantes para determinar si difieren del comportamiento normal.
Erradicación/Contención:
Esto tiene como objetivo detener y contener los ataques antes de que causen un daño significativo.
Recuperación:
Después del incidente, es esencial aprender y hacer preguntas importantes. Preguntas como:
- ¿Qué sucedió realmente y cuándo sucedió?
- ¿Cómo se manejó la situación?
- ¿Se siguieron los procedimientos?
- ¿Hubo errores graves?
- ¿Qué podría haberse hecho de manera diferente?
- ¿Qué herramientas necesitamos para mitigar incidentes similares?
- ¿Cómo se evitará esto en el futuro?
De acuerdo con la metodología NIST, este plan es simplemente más que una lista de acciones, en realidad es una hoja de ruta para el programa de respuesta a incidentes de la empresa, con objetivos a corto y largo plazo, indicadores de éxito, capacitación y criterios de trabajo para los roles de respuesta a incidentes. .
Una encuesta anterior señaló que 1 de cada 10 empresas del Reino Unido carecen de un plan de respuesta a incidentes. El plan de IR debe incluir un resumen de las metas y objetivos, definir y agrupar eventos de ICS, crear roles, responsabilidades y procedimientos críticos y determinar las acciones de respuesta apropiadas para eliminar y contener la amenaza de manera segura.
¿Qué se debe hacer para desarrollar un programa saludable de respuesta a incidentes?
Existe una amplia gama de prácticas saludables cuando se trata de implementar con éxito un programa de respuesta a incidentes:
1. Desarrollar y mantener un plan de IR.
Un plan de IR puede ayudar a las organizaciones a responder a los incidentes al proporcionar un conjunto de pautas sobre cómo reaccionar según el tipo y la gravedad. Los planes de respuesta a incidentes están destinados a usarse como una guía y deben adaptarse a las necesidades, amenazas, vulnerabilidades y recursos de una organización. Esto incluye identificar el alcance del problema, como identificar el área afectada, revisar los archivos de registro en busca de actividad sospechosa y determinar si hay un ataque activo o no.
2. Crear y entrenar un equipo de respuesta a incidentes (IRT).
Los equipos de respuesta a incidentes son responsables de analizar la situación, mitigar cualquier riesgo y garantizar que el sistema continúe funcionando como debería. Los miembros del equipo deben recibir capacitación sobre su función en el IRT.
3. Sea claro acerca de las expectativas
Asigne roles y responsabilidades a los miembros del equipo, incluidos los puntos de contacto secundarios y varios niveles de escalamiento dentro de la jerarquía de la organización.
Asegúrese también de que cualquier otra persona ajena al IRT que pueda estar involucrada esté capacitada en sus deberes específicos y tenga instrucciones claras sobre lo que debe hacer en caso de un incidente.
Los sistemas de control industrial están en todas partes, desde las presas de agua más grandes, las plantas de tratamiento y las redes eléctricas, hasta las humildes instalaciones de fabricación de bicicletas. A medida que estos sistemas se conectan más a Internet para expandir las capacidades de una planta, se vuelve más importante que nunca desarrollar y mantener un plan de respuesta a incidentes para controlar el riesgo de estos sistemas.