Por Javier Soria Pastor, Director CSIRT Global, OT-IOT-ICS & Digital Forensics de BIDAIDEA
No es frecuente que las empresas de ciberseguridad revelen los ataques que experimentan, pero últimamente es habitual, y deciden hacerlo un ejemplo de cómo desactivar una brecha de seguridad antes de que cause un daño significativo. De hecho, como los incidentes de seguridad han demostrado una y otra vez, ninguna empresa, ni siquiera las que parecen firmemente aseguradas, asentadas o ciberenlatadas, casi bloqueadas, están a salvo de un ataque, particularmente con el nivel actual de inteligencia y sofisticación de los atacantes cuando usan tácticas de ingeniería social, u otras más técnicas, eso te diría cualquier experto experto en ciberseguridad.
De hecho, en la narrativa oficial «es una de las raras historias en las que escucharas sobre un intento de ingeniería social verdaderamente elaborado y un descubrimiento rápido que condujo a un daño mínimo». El incidente debería generar conciencia sobre «las estafas de ingeniería social muy activas que están ocurriendo en el espacio de contratación, RRHH en particular «
La respuesta y la mitigación interna son clave durante un ciberataque
Si bien cuando se está llevando a cabo una investigación sobre el incidente, se puedo evitar un ataque más grave gracias a la respuesta rápida y al enfoque de seguridad en capas de la empresa, un plan bueno hoy, siempre mejor que uno perfecto mañana, y aprendemos para proporcionar un plan para otros momentos. Imaginemos un incidente X:
La empresa investigó alertas en su gestión de eventos e información de seguridad corporativa (SIEM) y bloqueó la cuenta comprometida, activó su retención de respuesta a incidentes con un proveedor de servicios y contrató a un proveedor externo de monitoreo, detección y respuesta (MDR) para gestionar los esfuerzos de respuesta a incidentes.
Los registros detallados de actividad del sistema permitieron la rápida clasificación y contención de este evento de seguridad. Para evitar ataques similares en el futuro, la compañía dijo que agregó un paso de verificación adicional para fortalecer aún más su proceso de incorporación de nuevos empleados para garantizar que la técnica utilizada en el ataque no se repita. Además, dado que cada intento de acceso frustrado se debió a la aprobación de acceso de varios pasos, la empresa x también está evaluando la expansión de esta estrategia a otros sistemas en función de cuán críticos son.
Consejos de resiliencia cibernética para otras organizaciones
Empresa x también hizo algunas recomendaciones para otras organizaciones para ayudar a evitar un escenario de ataque similar. La compañía informó que el fortalecimiento de la infraestructura y los procesos de administración de acceso e identidad es, en última instancia, un eje de referencia para todas las organizaciones que buscan resiliencia cibernética. Y es una buena idea implementar la separación de funciones en toda la empresa para que ninguna persona tenga el control completo del entorno.
Las organizaciones también deben aplicar el principio de privilegio mínimo a todos los sistemas y servicios, e implementar la autenticación multifactor siempre que sea posible, dijo la compañía.
Otros pasos para evitar un compromiso similar de los empleados como el que sufrió x company incluyen la aplicación de bloques explícitos para direcciones IP malas conocidas y el análisis de los correos electrónicos entrantes en busca de desencadenantes típicos de phishing, incluida la dirección de correo electrónico, la URL y la ortografía.
Finalmente, las organizaciones en general deben asegurarse de que se implemente un monitoreo de seguridad continuo, ¿con manuales de respuesta a incidentes probados y listos en caso de que ocurra un ataque…bla bla bla ¿y si es una infraestructura crítica? Electricidad, agua, trenes…. Todo con elementos industriales OT IOT IIOT…
Los ciberataques contra los sistemas de control industrial (ICS) pueden tener impactos físicos dañinos o humanos. Investigar tales ataques puede ser difícil, ya que la evidencia podría perderse debido al propio daño físico. Esto es especialmente cierto con los ataques sigilosos; es decir, ataques que pueden evadir la detección. Normalmente el objetivo es diseñar la metodología de preparación ante la posible necesidad de un forense en OT, en ICS distribuidos geográficamente y críticos para la seguridad, mediante la recopilación proactiva de evidencia potencial de ataques sigilosos. La recopilación de todos los datos generados por un ICS en todo momento es inviable debido al gran volumen de dichos datos. Por lo tanto, el enfoque más adecuado podría ser, solo activar la recopilación de datos cuando existe la posibilidad de que un posible ataque sigiloso cause daños físicos. Se suele determinar las condiciones para tal evento mediante la realización de comprobaciones de seguridad predictivas basadas en modelos. Además, utilizar el diseño geográfico del ICS y las predicciones de seguridad para identificar datos que corren el riesgo de perderse debido a daños, es decir, datos relevantes. Finalmente, para reducir la sobrecarga de rendimiento del control resultante de la recopilación de datos en tiempo real, seleccionamos un subconjunto de datos relevantes para recopilar al realizar una compensación entre el impacto esperado del ataque y el costo estimado de recopilación.
Normalmente se usa un tap, o un port mirror para copiar el tráfico y analizarlo con una sonda IDS, nuestro amigo wireshark con esteroides … pero esto es diferente, mostramos que el enfoque propuesto no pierde datos relevantes y no da como resultado una sobrecarga de rendimiento de control, en comparación con el caso en que se recopilan todos los datos generados por el ICS. La aplicabilidad del enfoque es mejorar la eficiencia de las herramientas de análisis de registros forenses de ICS existentes. No se pierden datos relevantes y da como resultado una sobrecarga de rendimiento de control reducida en comparación con el caso en que se recopilan todos los datos generados por el ICS. Que madness, necesitamos estrategias de ciberseguridad en todo, desde las potabilizadoras de agua, hasta las subestaciones eléctricas, electro medicina, los sistemas autónomos de los coches, trenes…. No va a haber vida sin ciberseguridad, asegúrate la continuidad de la especie, pon ciberseguridad en tu vida.
Que idea, cuala idea, Bidaidea