Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Una guía por el panorama de la ciberseguridad en las redes ICS y OT: perspectivas y soluciones

Por OPSWAT
Última actualización:
Comparte esta publicación

Introducción

En el cambiante mundo de la ciberseguridad, los sistemas Industrial (ICS) y las redes de tecnología operativa (OT) constituyen un motivo de gran preocupación. Estos sistemas no solo son vitales para la continuidad de las operaciones empresariales, sino que también forman parte integrante de la infraestructura crítica de un país. El equipo MetaDefender (antes conocido como Filescan Sandbox) OPSWAT ha estado supervisando de cerca los riesgos de ICS/OT y ha observado actividades persistentes y potencialmente de gran impacto.

El panorama actual de amenazas

Las últimas tendencias en materia de amenazas a la ciberseguridad han puesto de manifiesto una tendencia preocupante en los ataques: grupos respaldados por Estados han comenzado a especializarse en sistemas de control industrial (ICS), como Sandworm (Rusia) y Volt Typhoon (China), mientras que los ciberdelincuentes son conscientes de la gravedad de las consecuencias que pueden tener sus ataques contra los sistemas industriales. Las fuerzas de seguridad de todo el mundo reconocen la importancia de estas amenazas para todos los sectores industriales, lo que ha dado lugar a la publicación de informes conjuntos y a la puesta en marcha de campañas destinadas a reforzar la seguridad de los sistemas de control industrial (ICS).

Problemas recurrentes y recomendaciones

Una de las recomendaciones más antiguas para mitigar estos riesgos es reducir la exposición de los sistemas. Sin embargo, la prevalencia de sistemas expuestos sigue siendo un problema preocupante en el panorama de la ciberseguridad. A medida que las técnicas de reconocimiento y explotación se difunden cada vez más, la amenaza de ataques oportunistas se hace más presente, lo que permite a los actores maliciosos con un menor nivel de sofisticación causar impacto en sistemas críticos. Un informe de septiembre puso de relieve una tendencia alarmante: los incidentes de ciberseguridad en OT/ICS en los últimos tres años han superado el total registrado entre 1991 y 2000. Esta estadística por sí sola subraya los crecientes retos a los que se enfrentan los responsables de la seguridad de estos entornos.

Defenderse de la amenaza

Marcos y actualizaciones

Consciente de la necesidad de una atención especializada, la corporación MITRE desarrolló una matriz ATT&CK específica para los sistemas de control industrial (ICS), con el fin de proporcionar un lenguaje común para la comunicación intersectorial y de capacitar a los sectores menos representados para que aprovechen sus correspondencias, fomentando así una comunicación significativa sobre los riesgos y las amenazas. Esta herramienta, relativamente nueva, se sigue actualizando meticulosamente, y su última versión se publicó el mes pasado.

La interconexión entre las tecnologías de la información (TI) y las tecnologías operativas (TO)

El equipo OPSWAT MetaDefender , además de mantenerse al día de estas novedades, destaca la conexión intrínseca entre las tecnologías de la información (TI) y las tecnologías operativas (TO), ya que los activos de TI están presentes en todos los niveles del modelo de Purdue, y no solo en el nivel superior.

icono de cita

La vulnerabilidad de los sistemas de TI conduce a la vulnerabilidad de los sistemas de OT. A los encuestados les preocupan principalmente —y han sufrido— incidentes en los sistemas de control industrial (ICS) relacionados con amenazas de malware o con intrusos que han penetrado en la red empresarial de TI. Estas intrusiones suelen facilitar el acceso y el avance hacia el entorno de ICS/OT. Las vulnerabilidades en los sistemas de TI que dan lugar a la entrada de amenazas en las redes de OT/ICS ocuparon el primer lugar, seguidas de las vulnerabilidades en las estaciones de trabajo de ingeniería y en los servicios remotos externos.

Informe de ciberseguridad de SANS sobre ICS/OT de 2023
patrocinado por OPSWAT

El denominador común: los archivos maliciosos

En todo el espectro de ciberataques relacionados con los sistemas de control industrial (ICS), la presencia de archivos maliciosos es un factor constante, independientemente del vector de entrada, ya sea a través de sistemas de TI o de tecnología operativa (OT). Aquí es donde entran en juego soluciones como MetaDefender . Estas herramientas están diseñadas para examinar minuciosamente los archivos que atraviesan los perímetros definidos de la red de una organización, y se adaptan a diferentes contextos para ofrecer un rendimiento óptimo, incluso en entornos aislados físicamente.

Sandbox Adaptive SandboxOPSWAT combina diferentes conjuntos de indicadores de amenazas utilizando analizadores propios y otros ampliamente conocidos, como las reglas Yara. Ambos ataques mencionados anteriormente, los de Volt Typhoon y Sandworm, se basaban en gran medida en binarios «Living-Off-the-Land» (LOLBINS), para los que MetaDefender implementa numerosos indicadores. Sin embargo, el primer ataque constituye un buen ejemplo de la combinación de indicadores, dada la disponibilidad de muestras. La primera carga útil notificada es un script por lotes que contiene un comando de Powershell codificado en base64 que activa dos indicadores interesantes para este caso, entre otros.

Figura 1: Análisis de la carga útil del Volt Typhoon
Enlace al informe

El origen del indicador mostrado anteriormente es la emulación del script, donde también se pueden observar otros indicadores relevantes. La siguiente captura de pantalla muestra un indicador diferente de mayor gravedad, activado a partir del contenido Base64 descodificado del script. Además, ambos elementos identificados se han asignado a las técnicas correspondientes del marco MITRE ATT&CK. 

Figura 2: Análisis de la carga útil del Volt Typhoon.
Enlace al informe

Además, este mismo ataque implicó el uso de muestras de Fast Reverse Proxy que, a pesar de estar comprimidas con UPX, MetaDefender logró descomprimir, lo que permitió que varios indicadores adicionales coincidieran con el archivo extraído e identificaran la amenaza.

Figura 3: Muestra de FRP del Volt Typhoon sin embalaje.Enlace al informe de

Figura 4: Yara identifica la muestra desembalada como FRP
Enlace al informe

Conclusión

A medida que evoluciona el panorama de amenazas, también deben hacerlo nuestras defensas. El compromiso OPSWAT con la seguridad de las redes ICS y OT sigue siendo firme, y el equipo MetaDefender se dedica a ofrecer soluciones que se actualizan constantemente para hacer frente a estos nuevos retos. Manténgase informado, preparado y seguro.

Etiquetas:

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.