Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.
Inicio/
Blog
/
Navegando por el panorama de la ciberseguridad de los sistemas de control industrial (ICS) y…
Una guía por el panorama de la ciberseguridad en las redes ICS y OT: perspectivas y soluciones
Por
OPSWAT
|
Última actualización:
Comparte esta publicación
Introducción
En el cambiante mundo de la ciberseguridad, los sistemas Industrial (ICS) y las redes de tecnología operativa (OT) constituyen un motivo de gran preocupación. Estos sistemas no solo son vitales para la continuidad de las operaciones empresariales, sino que también forman parte integrante de la infraestructura crítica de un país. El equipo MetaDefender (antes conocido como Filescan Sandbox) OPSWAT ha estado supervisando de cerca los riesgos de ICS/OT y ha observado actividades persistentes y potencialmente de gran impacto.
El panorama actual de amenazas
Las últimas tendencias en materia de amenazas a la ciberseguridad han puesto de manifiesto una tendencia preocupante en los ataques: grupos respaldados por Estados han comenzado a especializarse en sistemas de control industrial (ICS), como Sandworm (Rusia) y Volt Typhoon (China), mientras que los ciberdelincuentes son conscientes de la gravedad de las consecuencias que pueden tener sus ataques contra los sistemas industriales. Las fuerzas de seguridad de todo el mundo reconocen la importancia de estas amenazas para todos los sectores industriales, lo que ha dado lugar a la publicación de informes conjuntos y a la puesta en marcha de campañas destinadas a reforzar la seguridad de los sistemas de control industrial (ICS).
Problemas recurrentes y recomendaciones
Una de las recomendaciones más antiguas para mitigar estos riesgos es reducir la exposición de los sistemas. Sin embargo, la prevalencia de sistemas expuestos sigue siendo un problema preocupante en el panorama de la ciberseguridad. A medida que las técnicas de reconocimiento y explotación se difunden cada vez más, la amenaza de ataques oportunistas se hace más presente, lo que permite a los actores maliciosos con un menor nivel de sofisticación causar impacto en sistemas críticos. Un informe de septiembre puso de relieve una tendencia alarmante: los incidentes de ciberseguridad en OT/ICS en los últimos tres años han superado el total registrado entre 1991 y 2000. Esta estadística por sí sola subraya los crecientes retos a los que se enfrentan los responsables de la seguridad de estos entornos.
Defenderse de la amenaza
Marcos y actualizaciones
Consciente de la necesidad de una atención especializada, la corporación MITRE desarrolló una matriz ATT&CK específica para los sistemas de control industrial (ICS), con el fin de proporcionar un lenguaje común para la comunicación intersectorial y de capacitar a los sectores menos representados para que aprovechen sus correspondencias, fomentando así una comunicación significativa sobre los riesgos y las amenazas. Esta herramienta, relativamente nueva, se sigue actualizando meticulosamente, y su última versión se publicó el mes pasado.
La interconexión entre las tecnologías de la información (TI) y las tecnologías operativas (TO)
El equipo OPSWAT MetaDefender , además de mantenerse al día de estas novedades, destaca la conexión intrínseca entre las tecnologías de la información (TI) y las tecnologías operativas (TO), ya que los activos de TI están presentes en todos los niveles del modelo de Purdue, y no solo en el nivel superior.
La vulnerabilidad de los sistemas de TI conduce a la vulnerabilidad de los sistemas de OT. A los encuestados les preocupan principalmente —y han sufrido— incidentes en los sistemas de control industrial (ICS) relacionados con amenazas de malware o con intrusos que han penetrado en la red empresarial de TI. Estas intrusiones suelen facilitar el acceso y el avance hacia el entorno de ICS/OT. Las vulnerabilidades en los sistemas de TI que dan lugar a la entrada de amenazas en las redes de OT/ICS ocuparon el primer lugar, seguidas de las vulnerabilidades en las estaciones de trabajo de ingeniería y en los servicios remotos externos.
Informe de ciberseguridad de SANS sobre ICS/OT de 2023
patrocinado por OPSWAT
El denominador común: los archivos maliciosos
En todo el espectro de ciberataques relacionados con los sistemas de control industrial (ICS), la presencia de archivos maliciosos es un factor constante, independientemente del vector de entrada, ya sea a través de sistemas de TI o de tecnología operativa (OT). Aquí es donde entran en juego soluciones como MetaDefender . Estas herramientas están diseñadas para examinar minuciosamente los archivos que atraviesan los perímetros definidos de la red de una organización, y se adaptan a diferentes contextos para ofrecer un rendimiento óptimo, incluso en entornos aislados físicamente.
Sandbox Adaptive SandboxOPSWAT combina diferentes conjuntos de indicadores de amenazas utilizando analizadores propios y otros ampliamente conocidos, como las reglas Yara. Ambos ataques mencionados anteriormente, los de Volt Typhoon y Sandworm, se basaban en gran medida en binarios «Living-Off-the-Land» (LOLBINS), para los que MetaDefender implementa numerosos indicadores. Sin embargo, el primer ataque constituye un buen ejemplo de la combinación de indicadores, dada la disponibilidad de muestras. La primera carga útil notificada es un script por lotes que contiene un comando de Powershell codificado en base64 que activa dos indicadores interesantes para este caso, entre otros.
Figura 1: Análisis de la carga útil del Volt Typhoon Enlace al informe
El origen del indicador mostrado anteriormente es la emulación del script, donde también se pueden observar otros indicadores relevantes. La siguiente captura de pantalla muestra un indicador diferente de mayor gravedad, activado a partir del contenido Base64 descodificado del script. Además, ambos elementos identificados se han asignado a las técnicas correspondientes del marco MITRE ATT&CK.
Además, este mismo ataque implicó el uso de muestras de Fast Reverse Proxy que, a pesar de estar comprimidas con UPX, MetaDefender logró descomprimir, lo que permitió que varios indicadores adicionales coincidieran con el archivo extraído e identificaran la amenaza.
Figura 4: Yara identifica la muestra desembalada como FRP Enlace al informe
Conclusión
A medida que evoluciona el panorama de amenazas, también deben hacerlo nuestras defensas. El compromiso OPSWAT con la seguridad de las redes ICS y OT sigue siendo firme, y el equipo MetaDefender se dedica a ofrecer soluciones que se actualizan constantemente para hacer frente a estos nuevos retos. Manténgase informado, preparado y seguro.