La convergencia de los entornos de TI y tecnología operativa (OT) y un panorama geopolítico incierto han aumentado los riesgos para las organizaciones de infraestructura crítica en todo el mundo.
Las autoridades de todo el mundo están instando a los defensores de la red, especialmente en infraestructura crítica, a prepararse para una nueva ola de ataques cibernéticos a medida que los actores de amenazas buscan ser más efectivos en un contexto de incertidumbre geopolítica.
Los avisos conjuntos recientes provenientes de las agencias de seguridad cibernética en Occidente destacan la creciente amenaza de la actividad cibernética criminal y el impacto potencial en la infraestructura crítica. Dado que las redes eléctricas, las plantas de tratamiento de agua y las instituciones financieras ahora enfrentan una mayor probabilidad de ataque, las empresas y las sociedades que dependen de ellas también están en riesgo.
Los tipos de ataques que los defensores de la red deben tener en cuenta varían. En el primer trimestre de 2022, Kroll observó un aumento del 54 % en los ataques de phishing utilizados para el acceso inicial en comparación con el cuarto trimestre de 2021. Este es un vector de ataque conocido y clasificado para sistemas ICS y OT en el marco MITRE. Una vez superada la etapa inicial del ataque, el compromiso del correo electrónico y el ransomware continúan siendo los dos tipos de incidentes de amenazas más comunes en el informe Quarterly Threat Landscape de Kroll . Los ataques de ransomware pueden provocar una interrupción sistémica en entornos críticos.
Dada la cantidad de vulnerabilidades y el volumen de posibles ataques cibernéticos, es imprescindible contar con una tecnología integral de monitoreo de amenazas y desarrollar un plan desarrollado para la resiliencia en toda la empresa y en las cadenas de suministro. Ahora es realmente el momento de reforzar las defensas.
Desafíos específicos de asegurar la infraestructura crítica
Cuando se defiende la infraestructura crítica, uno de los mayores desafíos es poder evaluar y administrar toda la superficie de ataque. Las organizaciones deben identificar los componentes de la red y dónde hay debilidades, al tiempo que agregan una capa de monitoreo de actividad sospechosa que podría indicar un evento de seguridad cibernética que necesita una mayor investigación. Este es un desafío recurrente debido a tres factores en competencia:
- Un entorno convergente de TI y TO: es difícil establecer conexiones entre estos entornos y tener análisis de datos generales, además de poder segmentar la red para limitar la posible intrusión de atacantes.
- Un inventario de activos amplio y heterogéneo: las organizaciones a menudo no tienen una visión clara de los activos existentes en su entorno, y mucho menos la capacidad de administrarlos de forma segura mediante la aplicación de actualizaciones de seguridad.
- Falta de monitoreo de seguridad: si bien el monitoreo operativo puede ser sólido, esto no es lo mismo desde una perspectiva de seguridad. Las organizaciones a menudo tienen poco conocimiento de los eventos anómalos que podrían indicar un incidente de seguridad.
Un enfoque pragmático de la seguridad de OT
Para preparar sus defensas para el futuro, hay seis pasos clave que se pueden tomar en el viaje hacia una seguridad mejorada de OT. Las empresas deben:
- Identificar los componentes, roles y responsabilidades necesarios para obtener el control de los entornos OT y obtener una comprensión clara de lo que se necesita para la defensa.
- Gestionar los riesgos y evalar, clasifique y obtener control sobre ellos en un marco de gestión de OT adecuado para su propósito. Las empresas deben cumplir con las regulaciones pertinentes y utilizar enfoques como "romper el cristal" y el apoyo de terceros.
- Proteger sus activos, redes y operaciones de las amenazas de seguridad cibernética con control de acceso, administración de parches y configuración segura.
- Aislar partes de la red. Valide el aislamiento de la red y los controles adecuados y separe las operaciones, los flujos de datos, el almacenamiento de datos, los planos de control y el acceso remoto.
- Mitigar el riesgo mediante la implementación de controles y la medición de la madurez y la eficacia de acuerdo con los marcos de gestión de riesgos y los requisitos de cumplimiento.
- Preparar a la organización para el futuro mediante la "incorporación" de la seguridad a lo largo del proceso de gestión del cambio. Esto incluye la incorporación de seguridad en la arquitectura de OT para escalar para requisitos futuros.
Victorias rápidas frente a nuevas advertencias
Cosechar los frutos de un enfoque pragmático llevará tiempo, pero también hay áreas en las que las empresas pueden centrarse para obtener ganancias rápidas.
La preparación de incidentes, por ejemplo, se puede abordar de tres maneras. La segmentación de la red mantendrá los sistemas críticos más alejados de los posibles puntos de acceso de los atacantes. Las evaluaciones de compromiso pueden ayudar a una empresa a estar "con los ojos abiertos" para ver dónde es más vulnerable. El despliegue de sensores para monitorear actividades sospechosas provenientes de dispositivos en el entorno OT puede brindar una alerta temprana y ampliar la preparación y la respuesta.
Si ocurre un incidente, un libro de estrategias de respuesta debería ayudar a la empresa a superar los desafíos potenciales y traer a las partes interesadas y expertos apropiados. Es importante destacar que, con la metodología de respuesta a incidentes de OT, el plan y los libros de jugadas técnicas deben estar claramente separados del libro de jugadas de TI más amplio. Esto evita conflictos de prioridades en los que la prisa por volver a "negocios como siempre" puede socavar los pasos de seguridad que deben tomarse. La realidad es que, a menudo, los aspectos relacionados con la seguridad cibernética se descuidan en los planes de respuesta a incidentes de OT.
Preparándonos para un futuro incierto
El riesgo cibernético nunca ha sido completamente independiente de la política mundial y los asuntos internacionales, pero recientemente ha habido un cambio significativo en la alineación. El dominio del conflicto físico tiene vínculos más estrechos que nunca con la esfera digital, y ahora la incertidumbre que rodea los desarrollos geopolíticos está poniendo las infraestructuras críticas en el foco de atención de los ciberdelincuentes. Esto seguirá presentando un desafío apremiante para los sistemas y organizaciones de OT que deberán estar alerta para mitigar los peligros inmediatos, al tiempo que amplían sus defensas para reforzar la seguridad de su infraestructura y entorno de OT a largo plazo.