El equipo de iSIGHT Intelligence de FireEye identificó los riesgos más comunes a los Sistemas de Control Industriales (ICS) y que deben ser priorizados por los equipos responsables de las instalaciones.

Los datos son el resultado de evaluaciones prácticas realizadas en los últimos años en una amplia gama de industrias, incluyendo manufactura, minería, automotriz, energía, química, gas natural y servicios públicos.

A partir de una amplia visión de los actuales riesgos enfrentados por las organizaciones industriales, se concluye que al menos un tercio de los riesgos críticos y de alta seguridad de ICS están relacionados a vulnerabilidades, patches y actualizaciones.

Las vulnerabilidades, conocidas siguen representando desafíos significativos. Otra confirmación relevante es que algunos de los riesgos más comunes pueden ser mitigados con las prácticas recomendadas de seguridad, como aplicación de una política integral de gestión de contraseñas o el establecimiento de reglas detalladas del firewall.

En la mayoría de los casos, las mejores prácticas básicas de seguridad serían suficientes para impedir – o dificultar – la actuación de los agentes de amenazas contra los sistemas industriales.

Aunque las tendencias observadas en esta investigación están alineadas con las áreas de riesgo comúnmente discutidas en conferencias, los investigadores de FireEye muestran la legitimidad de lo que sucede en el cotidiano de ICS.

Los resultados

Después de la observación, los datos fueron categorizados como altos, medios y bajos. Al menos 33% de los problemas de seguridad fueron clasificados como de riesgo alto o crítico, lo que indica mayores probabilidades de que los adversarios obtengan el control de los sistemas y, potencialmente, comprometan otros sistemas o redes, causando la interrupción de los servicios, divulgación de información no autorizada y otras consecuencias negativas.

Los riesgos críticos de alta seguridad fueron divididos en nueve categorías, siendo tres las más recurrentes:

1. Vulnerabilidades, patches y actualizaciones (32%);
2. Administración de identidades y acceso (25%);
3. Arquitectura y segmentación de la red (11%).

Los procedimientos de gestión de vulnerabilidades, patches y actualizaciones permiten que las organizaciones protejan software, hardware y firmware listos para uso contra amenazas de seguridad conocidas.

Las vulnerabilidades conocidas en ambientes ICS pueden ser aprovechadas por agentes de amenazas para acceder a la red y moverse lateralmente para ejecutar ataques dirigidos.

La segunda categoría más común es la gestión de identidades de acceso, relacionada a las fallas o ausencia de prácticas recomendadas para manejar las contraseñas y credenciales. Los puntos más frágiles identificados por los investigadores son:

1. Falta de autenticación de varios factores para acceso remoto y cuentas críticas;
2. Falta de una política de contraseñas completa y aplicada;
3. Contraseñas débiles con duración o complejidad insuficientes usadas para cuentas privilegiadas, de usuarios del ICS o de servicio;
4. Contraseñas sin cambios frecuentes;
5. Uso de credenciales compartidas.

De los tres principales riesgos identificados, los puntos débiles de la segregación y segmentación de red son los más importantes. Una vez que la falta de segregación de la red de TI corporativa y de la red ICS permite a los agentes de amenazas crear ataques remotos contra la infraestructura principal, moviéndose lateralmente de los servicios de TI para los ambientes ICS, aumentando el riesgo de propagación de malware de commodity para redes ICS, donde está lista de actuar con activos operativos.

Otros riesgos y mejores prácticas de gobernanza de seguridad cibernética

Riesgos comunes adicionales fueron identificados de otras categorías, pero con menos frecuencia, como la administración de la red y el monitoreo.

De acuerdo con el análisis de FireEye, la falta de monitoreo de seguridad de red, detección de intrusos y prevención de intrusiones en las organizaciones, incluyendo protección contra malware en terminales ausentes, dejan activas puertas no utilizadas y dan visibilidad limitada a redes ICS.

Por esto, se recomienda desarrollar una estrategia integral de gestión de vulnerabilidades de ICS e incluir procedimientos para implementar correcciones y actualizaciones en los principales activos internos.

El establecimiento de un programa formal de seguridad con una estructura claramente definida, debe englobar responsabilidades y gobernanza, además de:

1. Expectativas de negocios, políticas y estándares técnicos para seguridad del ICS;
2. Orientación sobre controles de seguridad proactivos (por ejemplo, implementación de parches y actualizaciones, gestión de cambios o configuraciones seguras);
3. Planes de respuesta a incidentes, recuperación de desastres y continuidad del negocio;
4. Estrategia de gestión de vulnerabilidades, incluyendo identificación de activos e inventario, evaluación de riesgo y metodología de análisis con pruebas de remediación y directrices de implantación.

Metodología: Sistema de Clasificación de Riesgos de Mandiant

La información proviene de Mandiant ICS Healthchecks, que evalúa el riesgo de seguridad cibernética en organizaciones de varios sectores. La clasificación de riesgo crítico y de alta seguridad, se basa en el sistema de Clasificación de Riesgos de Mandiant, determinada por la identificación de capacidades de exploración y de impacto de un determinado problema y por la referencia cruzada de resultados obtenidos por los equipos de análisis.

Noticias Relacionadas

FireEye impulsa la siguiente generación de centro de operaciones de seguridad3 min read FireEye llevó a cabo su evento Ciber Defense Live México4 min read FireEye alerta de campañas importantes de distribución de FormBook3 min read FireEye detectó y bloqueó ataques a servicios de infraestructura en Europa del Este2 min read