Propietario vs. Fuente abierta
Los proveedores de software confían en la naturaleza patentada de sus productos en sus argumentos de venta para convencer a los clientes de que son más confiables que el software de código abierto que prácticamente cualquier persona puede modificar. Esta práctica se ve reforzada por los fabricantes de equipos originales que compran empresas de software de seguridad para ofrecerlas estratégicamente junto con sus sistemas y productos. Los presupuestos de ciberseguridad en promedio son increíblemente pequeños, supuestamente entre el 0,2% y el 0,9% de los ingresos netos. Una porción aún menor se destina al ICS. Esta realidad , junto con la importancia de tener operaciones seguras y confiables las 24 horas del día, los 7 días de la semana , crea una atmósfera despiadada para elegir las herramientas de seguridad adecuadas.
Los programas de código abierto son gratuitos y esencialmente de fuentes colectivas y, por lo tanto, también son potencialmente depurados en lugar de manipulados por muchos. Al mismo tiempo, la utilidad de cualquier software sólo llega hasta donde los humanos saben cómo extraer valor de sus resultados. Para obtener una utilidad total, los usuarios finales suelen proporcionar datos, a veces confidenciales, que deben formar parte del cálculo de riesgos antes de la compra. Los usuarios finales tienen una visibilidad limitada del código propietario del software que depende del acceso a sus datos y del intercambio de ellos. Lo mismo ocurre con los servicios gestionados. Un equipo de seguridad podría optar por una herramienta de código abierto para el monitoreo de la red, pero comprar una solución de software como servicio de terceros, como SolarWinds, para la administración y la orquestación. Es cada vez más difícil sopesar los costos y beneficios de cada lado cuando ambas opciones presentan riesgos únicos e imprevistos.
Gestión de la cadena de suministro
El ataque a SolarWinds fue novedoso por dos razones principales. En primer lugar, pasó desapercibido para las principales empresas de seguridad durante varios meses y, en segundo lugar, su objetivo preciso permitió a los autores afectar a muchas organizaciones simultáneamente. Puede que se considere el mayor evento de ciberseguridad de 2020, pero los ataques a la cadena de suministro llegaron para quedarse . Diseñar malware para que se haga pasar por tráfico legítimo probablemente será una regla y no una excepción en el futuro, como lo demuestra este enfoque para enviar paquetes legítimos desde fuentes de código público a aplicaciones corporativas internas o privadas con herramientas automatizadas.
La cadena de suministro de ICS es un factor de estrés adicional para las redes de comunicación que ya carecen de la visibilidad necesaria para generar un programa de ciberseguridad de defensa en profundidad. Muchos protocolos y procesos de datos estáticos de OT viven en hojas de cálculo, con versiones de software obsoletas que se ejecutan en máquinas industriales que tienen entre 10 y más de 30 años. El hardware y el software de ICS en un único entorno provienen de docenas de proveedores diferentes. Entre los conmutadores, cortafuegos, puertas de enlace y dispositivos de duplicación de puertos, el tráfico de red puede estar segmentado, pero incidentes recientes revelan conexiones a Internet desconocidas en dispositivos OT y sistemas y subsistemas proporcionados por proveedores. Para garantizar la integridad del software en el futuro, una lista de materiales de software requerida podría ser de gran ayuda en términos de prevención e integridad. Desafortunadamente, catalogar ICS para rastrear retroactivamente los metadatos y la procedencia de la cadena de suministro es una tarea ardua, costosa y que requiere mucho tiempo.
Vulnerabilidades de la IoT
La promesa de revolucionar la industria proporcionando niveles sin precedentes de interconectividad y optimización de datos impulsa a muchas empresas a seguir lanzando nuevos productos de IoT al mercado todos los días. En hogares, fábricas y ciudades, los elementos inteligentes conectados están diseñados para cumplir funciones específicas. Creados para ser implementados en grandes cantidades a bajo costo en entornos industriales, estos dispositivos a menudo carecen de seguridad básica y protección de datos . Pueden ser atacados para obtener acceso a un objetivo más amplio y lograr objetivos más profundos dentro de una red corporativa. También se pueden utilizar para reconocimiento y espionaje sencillos. O pueden ser secuestrados y redirigidos a escala para convertir el código en un arma y desbordar el tráfico para afectar objetivos críticos.
Aunque la seguridad de los terminales en las operaciones industriales está ganando terreno, no tratará las causas subyacentes que hacen que la IoT sea insegura . Más fuentes de datos, conectividad y herramientas de gestión de datos ofrecen una curita para contraseñas débiles, protocolos de autenticación y cifrado, mecanismos de actualización inseguros y protecciones de privacidad mundanas. Un actor de amenazas novato puede encontrar dispositivos conectados a Internet en el sitio web Shodan y aprender cómo eludir la segmentación de la red y penetrar redes IoT aisladas utilizando herramientas de código abierto como Nmap y Ncrack. La gestión de intrusiones será una batalla constante entre la detección y la respuesta, y quedará poca atención para abordar los problemas subyacentes después de que los proveedores compren e implementen los productos de IoT.
Próximos pasos para las partes interesadas
Con estos desafíos en mente, es hora de tomarse en serio la seguridad de ICS. Los enfoques graduales para parchear vulnerabilidades y marcar casillas de cumplimiento no evitarán el sabotaje por parte de un actor de amenazas. Los sectores críticos deben tomar nota y planificar investigaciones y acciones para realizar evaluaciones ascendentes de operaciones, sistemas e información críticos. Existen varios marcos útiles de gestión de colecciones de ICS, guías de inventario de activos y recursos de inteligencia sobre amenazas. Para generar un impulso real, las organizaciones deben realizar un reconocimiento de sus operaciones y comenzar a probar sus suposiciones.
Un nuevo estándar de la serie ISA/IEC 62443, ISA/IEC 62443-3-2: Evaluación de riesgos de seguridad para el diseño de sistemas , define un conjunto de medidas de ingeniería para guiar a las organizaciones a través del proceso de evaluación del riesgo de un ICS o Sistema IIoT. También establece cómo identificar y aplicar contramedidas de seguridad para reducir ese riesgo a niveles tolerables.
Otra nueva metodología de expertos del Laboratorio Nacional de Idaho (miembro de la Alianza Global de Ciberseguridad de ISA), la ingeniería cibernética (CCE) impulsada por consecuencias , se centra en la planificación de escenarios de explotación y acceso en el peor de los casos. CCE parte del supuesto de que la única forma de comprender los ataques antes de que ocurran es pensar como un atacante y poner a prueba su red y sus políticas de seguridad.
Estos enfoques son individualizados y permiten a los expertos abordar los riesgos de seguridad en sistemas críticos para comenzar a enfrentar y mitigar los principales puntos débiles en 2021.
Danielle Jablanski
https://gca.isa.org/blog/the-top-3-cybersecurity-issues-for-industrial-control-systems-in-2021