Seguridad ICS: qué es y por qué es un desafío para las organizaciones
Sistemas de control industrial (SCI) son tipos específicos de activos e instrumentación asociada que ayudan a supervisar los procesos industriales. De acuerdo con la Instituto Nacional de Normas y Tecnología, hay tres tipos comunes de ICS. Estos son sistemas de control de supervisión y adquisición de datos (SCADA), que ayudan a las organizaciones a controlar los activos dispersos; sistemas de control distribuido (DCS), que controlan los sistemas de producción en un área local; y controladores lógicos programables (PLC), que permiten el control discreto de aplicaciones mediante el control reglamentario.
En esta capacidad, los sistemas de control industrial son esenciales para el funcionamiento de la infraestructura nacional crítica (CNI), como las redes de transporte, las plantas de tratamiento de agua y las redes eléctricas. Él Departamento de Seguridad Nacional de EE. UU. (DHS) describe a CNI como «sistemas y activos físicos y cibernéticos que son tan vitales para los Estados Unidos que su incapacidad o destrucción tendría un impacto debilitante en nuestra seguridad física o económica o en la salud o seguridad pública». Como tal, CNI ayuda a respaldar el funcionamiento general de la sociedad estadounidense.
¿Por qué los atacantes los atacan?
Un colaborador de State of Security escribió lo siguiente en 2016: «Si estos dispositivos ISC se vieran comprometidos, el servicio regular podría verse interrumpido, los datos de propiedad podrían perderse y podrían producirse daños importantes».
Esta declaración plantea la pregunta: ¿Por qué alguien querría interrumpir ICS? Algunos actores malintencionados podrían utilizar la amenaza de una interrupción del ICS como medio para extorsionar las operaciones de una organización industrial. Esos atacantes podrían hacerlo con la creencia de que la víctima estará más inclinada a pagar (y rápidamente) para evitar afectar negativamente la seguridad o la salud pública de una nación.
Tome el ataque del Oleoducto Colonial, como ejemplo. Allá por principios de mayo, la Colonial Pipeline Company anunció en su sitio web que había desconectado varios sistemas para «contener la amenaza» planteada por una infección de ransomware exitosa. Todas las operaciones de gasoductos cesaron temporalmente después de esa decisión, lo que provocó escasez de gas y compras de pánico a lo largo de la costa este.
Durante la fase de recuperación, Bloomberg informó que Colonial Pipeline había pagado un rescate de aproximadamente $ 5 millones a delincuentes digitales solo unas horas después de descubrir el ataque a sus sistemas. Él Departamento de Justicia de EE. UU. finalmente recuperó $ 2.3 millones de ese pago de rescate después de usar una clave privada para piratear una dirección de billetera bitcoin. Al cierre de esta edición, Colonial no había recuperado el resto de su pago.
Las interrupciones de ICS tampoco son útiles solo para los extorsionadores. También son útiles para los actores patrocinados por el estado, especialmente aquellos que tienen la intención de atacar a un adversario percibido. En 2015, por ejemplo, una compañía eléctrica en el oeste de Ucrania informó de un apagón que afectó a la capital regional de Ivano-Frankivsk. Una investigación posterior reveló que actores desconocidos habían utilizado el malware BlackEnergy para interrumpir algunos de los sistemas de la empresa.
Como señalamos en el momento del ataque, algunos sospechan que Rusia creó BlackEnergy y la usó para apuntar a entidades en Ucrania como parte de un conflicto interestatal en curso.
Sin embargo, no todos los actores de amenazas están interesados en interrumpir los sistemas de control industrial. Otros podrían estar interesados en realizar un reconocimiento de la red industrial de una organización y enviar sus hallazgos al gobierno anfitrión. Otros aún podrían optar por vender esa misma información a una organización competidora para que puedan obtener una ventaja comercial. Y luego están aquellos que solo quieren vender esos datos en la dark web al mejor postor.
¿En qué consisten estos ataques?
Muchos ataques ICS ahora aprovechan la convergencia de los entornos de tecnología de la información (TI) y tecnología operativa (OT) de las organizaciones para su beneficio. Específicamente, los actores malintencionados cuentan con organizaciones para conectar sus activos de OT a sensores inalámbricos y otros sistemas de TI. La unión resultante de procesos, software, datos y dispositivos físicos podría ayudar a las organizaciones a optimizar sus flujos de trabajo industriales como parte de sus transformaciones digitales en curso. Pero también ayuda a expandir la superficie de ataque industrial mediante la creación de nuevos vectores a través de los cuales las personas malintencionadas pueden obtener acceso a su ICS.
De hecho, la comunidad de seguridad fue testigo de cómo alguien hizo un mal uso de la convergencia TI-TO en su beneficio en un ataque digital contra la ciudad de Oldsmar, Florida. Ese incidente comenzó cuando un operador en una planta de tratamiento de agua en la ciudad notó que alguien controlaba el cursor de su mouse. Luego vieron cómo el cursor de su mouse cambiaba la configuración de hidróxido de sodio dentro del agua de 100 partes por millón (ppm) a 11,100 ppm, un nivel potencialmente peligroso.
El alguacil del condado de Pinellas inició una investigación sobre el ataque. En el proceso, se enteraron de que alguien parecía haber comprometido y hecho mal uso de la cuenta de TeamViewer de la planta de tratamiento de agua. La instalación contaba con ese software con el fin de permitir que los supervisores se conectaran de forma remota y solucionaran problemas cuando fuera necesario.
Los investigadores profundizaron en el ataque y descubrieron que un contratista de servicios de agua de Florida estaba alojando un código malicioso en su sitio web como un medio para atacar a los servicios de agua, informó Semana de la Seguridad. Alguien en la ciudad de Oldsmar visitó ese sitio web el mismo día del acceso no autorizado, lo que llevó a la municipalidad a ser víctima de lo que se conoce como un ataque de pozo de agua.
¿Cuál es el estado de estos ataques?
Los ataques ICS van en aumento. Como informamos recientemente, los investigadores descubrieron que los ataques digitales dirigidos a los activos de ICS y OT de las organizaciones aumentaron en más del 2000 % entre 2018 y 2020. Muchos involucraron esfuerzos de actores maliciosos para explotar vulnerabilidades que afectan los activos SCADA. También incluyeron esfuerzos para realizar ataques de rociado de contraseñas a través de técnicas de inicio de sesión de fuerza bruta.
Los ataques de ransomware contra los ICS de las organizaciones están particularmente extendidos. Ellos representaron el 23% de los incidentes de seguridad en el sector industrial para 2020. Como señaló cibernético industrial las vulnerabilidades de ICS también fueron un 49 % más frecuentes en 2020 que el año anterior.
¿Por qué los ICS son difíciles de asegurar?
Los sistemas heredados dificultan que las organizaciones aseguren su ICS. Esto tiene que ver con la forma en que los entornos de TI y OT mantienen diferentes prioridades de seguridad cuando se trata de la tríada CIA. TI valora la confidencialidad ante todo, por ejemplo, pero OT busca otra cosa. Lo más importante para los profesionales de OT es la disponibilidad (y la seguridad), ya que deshabilitar ciertos sistemas podría causar que otros funcionen mal de una manera que ponga en peligro la vida de la gente común. En entornos OT, el tiempo de actividad y la falta del mismo tienen consecuencias en el mundo real. Como resultado, OT se interesa por la integridad y la confidencialidad solo después de garantizar la disponibilidad.
Si lo que más les preocupa es garantizar la disponibilidad de sus activos de OT, muchas organizaciones no están interesadas en desconectar temporalmente sus activos para actualizarlos o reemplazarlos. Por lo tanto, las organizaciones industriales terminan utilizando los mismos sistemas ICS durante años, si no décadas. Esos sistemas heredados carecen de parches de seguridad y, por lo tanto, no están preparados para resistir las amenazas de seguridad de TI del mundo actual.
Esa es una preocupación dada la falta de visibilidad de la red de las organizaciones. Muchas organizaciones industriales simplemente no cuentan con las tecnologías necesarias para ganar visibilidad en sus redes. Como resultado, no saben necesariamente qué proteger o qué sucede en sus sistemas, lo que minimiza su capacidad para proteger sus activos.
¿Qué pueden hacer las organizaciones en respuesta?
Las organizaciones industriales pueden proteger sus sistemas ICS centrándose en los fundamentos de seguridad. Una de las formas en que pueden hacer esto es invirtiendo en una solución de seguridad que les permite descubrir y perfilar todos sus activos industriales, monitorear el estado de su red y sistemas, fortalecer esos activos contra las interrupciones de la planta y realizar evaluaciones granulares de vulnerabilidad para medir su ciberseguridad ICS de forma continua.