Tres vectores de ataque comunes para sistemas de control industrial

Una clave fundamental para la seguridad eficaz del sistema de control requiere comprender cómo se producen los ciberataques.

Ha sido casi imposible perderse todas las noticias sobre el aumento de los ataques cibernéticos en las industrias de manufactura y procesamiento en los últimos años. Sin embargo, este repunte reciente no es un desarrollo sorprendente, a pesar de que la mayoría de los fabricantes se han enfrentado a menos ataques en comparación con las empresas más orientadas al consumidor.


Una de las razones del retraso en los ataques a la industria se debió a la falta de familiaridad de muchos hackers con los sistemas de control industrial (ICS) utilizados en las industrias de fabricación y procesamiento discretas. Como resultado, la mayoría de los ciberataques centrados en el negocio se centraron en infracciones de los sistemas de TI empresariales, con los que la mayoría de los piratas informáticos ya estaban muy familiarizados.


Pero cuando se considera el alto perfil y los ingresos de muchas empresas industriales, junto con el potencial de interrupción significativa de los negocios y la comunidad que se hace posible al atacar el ICS de una empresa, el incentivo para que los piratas informáticos se familiaricen más con los ICS fue evidente. Esencialmente, era solo cuestión de tiempo antes de que la industria se convirtiera en un entorno rico en objetivos para los ciberdelincuentes.


Si bien existen muchos consejos para las empresas industriales sobre cómo proteger sus ICS, también es importante que las empresas estén al tanto de los principales tipos de amenazas cibernéticas a las que es más probable que se enfrenten.


Fuentes de ataque destacadas


Craig Young, investigador principal de seguridad de Tripwire, un proveedor de ciberseguridad industrial, señala tres fuentes de ciberataques de las que las empresas industriales deberían ser más conscientes debido a su potencial para causar una interrupción importante:


Un informante descontento: "Las amenazas más críticas a menudo provienen de dentro de una organización", dice Young. "Esto es especialmente cierto en los entornos de ICS, donde los empleados tienen acceso a los controles de la planta y un conocimiento profundo de los procesos operativos". Young cita el ataque a la planta de tratamiento de agua de Oldsmar, Florida, como un ejemplo de lo que se considera una infracción cometida por un empleado. Este ataque se considera un trabajo interno porque los piratas informáticos utilizaron "una cuenta legítima de TeamViewer de la empresa, combinada con un conocimiento aparente de la interfaz hombre-máquina de la empresa", dijo Young.


Para limitar la amenaza de ataques internos, Young sugiere aplicar controles de acceso y limitar el acceso de los administradores. Agrega que practicar una estricta higiene de contraseñas, como requerir autenticación de múltiples factores, caducidad forzada de contraseñas y prohibir el uso compartido de contraseñas, también es beneficioso. 


Una banda de ransomware: Young dice que el ransomware se introduce comúnmente en una red ICS de una de estas tres formas: un ataque de phishing dirigido a los empleados; poner en peligro un sitio web de la industria del que los usuarios pueden descargar con frecuencia; o apuntando a portales VPN u otra infraestructura de TI expuesta externamente.


Craig Young, investigador principal de seguridad, Tripwire.Craig Young, investigador principal de seguridad, Tripwire."La mejor manera de protegerse contra un ataque de ransomware es emplear las mejores prácticas de seguridad, incluida la gestión de vulnerabilidades", dice Young. “Los atacantes a menudo escanean Internet en busca de objetivos en lugar de identificar un objetivo específico y evaluar su espacio de red. Por lo tanto, los administradores de red deben estar al tanto de las vulnerabilidades en los sistemas expuestos externamente, como los portales VPN y las puertas de enlace de correo ".


También señaló que es importante fortalecer la seguridad interna limitando el acceso VPN y restringiendo el acceso entre servidores no relacionados. Y, al igual que con los remedios sugeridos para prevenir ataques internos, los permisos limitados también son clave en este caso.


“Los usuarios no deben tener acceso a un sistema a menos que exista una necesidad comercial específica”, enfatiza Young.


Amenaza persistente avanzada: debido a que varias interrupciones de ICS de alto perfil se han atribuido a piratas informáticos malintencionados que trabajan para agencias militares o de inteligencia extranjeras, como los ataques Triton y NotPetya, es "difícil subestimar el impacto potencial de un incidente cibernético de ICS en tiempo de guerra", dice Young. "Además de afectar la seguridad física de los trabajadores de la planta y las comunidades locales, los ataques pueden provocar fallas a largo plazo, incluida la interrupción de la electricidad, el agua, el combustible y otros servicios municipales". 


Además de los controles de seguridad de mejores prácticas mencionados anteriormente, Young recomienda acceder a recursos como ATT&CK y D3FEND, organizaciones que ayudan a las empresas industriales a aprender sobre adversarios conocidos y cómo operan. "Esto es fundamental para tomar decisiones informadas sobre cómo no solo reducir el riesgo de intrusión, sino también impedir el movimiento lateral de un atacante al tiempo que aumenta las posibilidades de detección del defensor", dice Young.         

Compañías en este artículo
Más en Ciberseguridad