El éxito de las amenazas persistentes avanzadas (APT) en el sector industrial depende en gran medida de factores humanos y medidas o soluciones de ciberseguridad insuficientes, entre otras causas. Aunque algunos de estos motivos pueden parecer evidentes, los expertos de Kaspersky los encuentran con frecuencia durante sus actividades de respuesta a incidentes. Para ayudar a las empresas a mitigar las amenazas relacionadas y asegurar la implementación de las mejores prácticas, los expertos de Kaspersky ICS CERT han recopilado los problemas más frecuentes.
Falta de aislamiento de la red OT
Durante la investigación de incidentes, los analistas de Kaspersky descubrieron problemas para mantener la red de Tecnología Operativa (OT) separada y segura. Por ejemplo, había máquinas conectadas tanto a la red de TI normal como a la red de OT.
«En situaciones en las que el aislamiento de la red OT se centra únicamente en la configuración del equipo de red, los atacantes más experimentados pueden reconfigurar el sistema para su propio beneficio«, explica Evgeny Goncharov, jefe del Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial en Kaspersky. “Así, pueden transformar el sistema en un conjunto de servidores proxy para controlar el tráfico de malware o, incluso, usarlo para almacenar y enviar ese malware a redes que se creía que estaban aisladas. Hemos sido testigos de tales actividades maliciosas en múltiples ocasiones”.
El factor humano sigue siendo capital
Al dar acceso a las redes OT a empleados o empresas subcontratadas, a menudo se pasan por alto las medidas de seguridad, circunstancia que los atacantes explotan. Kaspersky analizó un incidente en el que un empleado externo intentó realizar labores de sabotaje aprovechando el acceso remoto a la red ICS (Sistemas de Control Industrial) que se le había dado legítimamente años antes.
Esto demuestra la importancia del factor humano. Cualquier empleado descontento con su salario, por la valoración que de él hacen sus responsables o por un sinfín de motivos más puede iniciar acciones cibernéticas contra la empresa. Una posible solución para combatir estas situaciones pasa por Zero Trust, concepto que supone que no se confía ni en el usuario ni en el dispositivo ni en la aplicación del sistema. A diferencia de otras soluciones de tipo Zero Trust, Kaspersky extiende este enfoque hasta el sistema operativo con sus soluciones basadas en KasperskyOS.
Protección insuficiente de los activos OT
Los expertos de Kaspersky descubrieron bases de datos de soluciones de seguridad desactualizadas, claves de licencia inexistentes, componentes de seguridad desactivados y una patente falta de análisis y protección, lo que contribuye a la propagación del malware.
Si las bases de datos no están actualizadas y las soluciones de seguridad no se ponen al día automáticamente, las amenazas de tipo APT se pueden propagar fácil y rápidamente.
Mala configuración de las soluciones de seguridad
Una buena configuración de las soluciones de seguridad es crucial para la protección, algo que tienen en cuenta los grupos APT. Pueden robar información de las víctimas almacenada en dichas soluciones o romper las defensas a través de movimientos laterales.
En 2022, Kaspersky descubrió una nueva tendencia en las tácticas APT. Los ciberdelincuentes ya no se limitan al secuestro de sistemas TI críticos, como puede ser el caso del controlador de dominio (servidor clave de la infraestructura). Sus objetivos varían desde la incorporación de malware en paquetes de programas no controlados hasta su propagación a través de diferentes herramientas, incluso sobre sistemas que se supone que están separados por completo de la red infectada.
Ausencia de protección en las redes OT
En algunas redes OT, por extraño que parezca, las soluciones de ciberseguridad endpoint no están instaladas. Aunque la red OT esté completamente separada y no tenga conexión a Internet, los atacantes pueden acceder con versiones específicas de malware propagadas a través de unidades extraíbles como discos USB
Actualizaciones de seguridad de estaciones de trabajo y servidores
Los Sistemas de Control Industrial funcionan de una forma muy particular. Tareas tan sencillas como instalar actualizaciones de seguridad requieren de pruebas muy minuciosas que a menudo se realizan durante las labores de mantenimiento. Esto hace que no se actualicen con regularidad, lo que permite a los ciberdelincuentes explotar las vulnerabilidades.
“En algunos casos, la actualización del sistema operativo del servidor puede requerir a su vez de la actualización de un software especializado (como el servidor SCADA). Esto puede resultar costoso, por eso hay sistemas obsoletos en las redes de Sistemas de Control Industrial”, explica Goncharov. “Sorprendentemente, incluso los sistemas orientados a Internet en empresas industriales, que son fácilmente actualizables, permanecen desprotegidos durante mucho tiempo. Esto expone la Tecnología Operativa a ataques y riesgos graves”.
Para proteger a las empresas de amenazas como las mencionadas, los expertos de Kaspersky recomiendan:
- Asegurarse de que la OT y las infraestructuras críticas estén separadas de la red corporativa, y que no haya conexiones no autorizadas.
- Realizar auditorías de los sistemas OT regularmente para identificar y eliminar posibles vulnerabilidades.
- Evaluar continuamente las vulnerabilidades y establecer procesos de gestión de las mismas.
- Utilizar soluciones de monitorización, análisis y detección del tráfico ICS para una mejor protección contra ataques que puedan amenazar los procesos y activos de la empresa. En este sentido, Kaspersky Industrial CyberSecurity incluye soluciones específicas de protección para endpoints y monitorización de red para descubrir actividad maliciosa en las redes industriales
- Para comprender mejor los riesgos asociados a las amenazas y tomar las mejores decisiones, es recomendable acceder a Kaspersky ICS Vulnerability Intelligence, que aporta informes y una gran cantidad de datos de interés.
- Por último, es importante formar y capacitar a los equipos ICS para dotarles de una correcta respuesta frente a las amenazas.