Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • sebastianquintero54

Abordar los Riesgos de Seguridad de la Transformación Digital en el IoT y OT con Engaño

Perspectivas de la industria

El estado universal actual de las redes es “conectado”. Más allá de modelos informáticos tradicionales, la conectividad es el estado predeterminado para dispositivos móviles y un amplio rango de soluciones Smart-X que incluyen automóviles y sistemas de transporte, appliances, edificios, plantas de manufactura, ciudades e infraestructuras críticas. De hecho, muchos individuos viven sus vidas rodeados de sensores basados en IP, y una asombrosa variedad de dispositivos, que nos mantienen conectados y en comunicación. Probablemente escucha con frecuencia términos como transformación digital e Industria 4.0, pero ambos son visiones y conceptos dinámicos, con arquitectura de referencia, estándares e incluso definiciones en un estado de cambio permanente. De hecho, lo único permanente es el cambio y en ningún lugar es más relevante o crítico que cuando se refiere a dispositivos del IoT y redes de OT porque la conectividad conlleva riesgos. Ciertamente, los sensores y dispositivos se usaban para administrar infraestructuras (ya sea críticas o no críticas) hace 10 a 15 años, cuando las redes IP ya eran una parte fundamental del universo conectado por Internet. Los dispositivos médicos, sistemas de control industrial, sistemas de fabricación, redes de energía y sensores han estado conectados a redes IP por años.


¿Qué cambió respecto a la OT?

La respuesta es riesgo. Incluso cuando estaban conectadas a las redes, la mayoría de las soluciones de OT estaban protegidas porque estaban separadas de la red pública y de TI corporativa. Hace quince años, a pesar de que los sensores industriales usaban redes IP para comunicarse, los actores de amenazas estaban más enfocados en la infraestructura de TI, donde podían obtener un retorno mayor y más rápido de su inversión en malware. Ir tras un sensor básico implementado en una red OT representó MUCHO trabajo extra y por muy poco a cambio. Además, el ransomware, que ahora los atacantes utilizan para retener sistemas de OT críticos y dispositivos del IoT a cambio de un rescate, no se ejecutó realmente hasta 2005 e incluso entonces se dirigió principalmente a dispositivos de usuarios finales durante años. De hecho, todavía había poco interés en atacar a los sistemas SCADA o ICS hasta que Stuxnet llegó en 2010.


Adicionalmente, debido a que el sensor de OT y las primeras funciones de los dispositivos del IoT eran tan simples, había pocas vulnerabilidades. Protegerlos involucró principalmente separar el entorno de OT de Internet y colocar un firewall frente a la red de OT para mantener fuera a las personas de TI. Actualmente, sin embargo, todo esto cambió. Esos sensores básicos ahora son “sensores inteligentes” que brindan una variedad más amplia de funciones. Los dispositivos del IoT o IoT industrial (IIoT) en algunos entornos, ahora son más sofisticados. Además, las redes y los dispositivos de TI y OT comenzaron a converger para generar mayores eficiencias y garantizar una respuesta ágil a las nuevas demandas del mercado. Todo esto hace que la superficie de ataque de OT sea más complicada de proteger.


Conocer y entender el panorama de amenazas, amenazas de seguridad del IoT y OT:

Estas son algunas de las principales amenazas de seguridad dirigidas a los sistemas y soluciones del IoT y OT:


  • Los sensores del IoT y OT se conectan cada vez más a redes IP que permiten el acceso remoto, lo que implica que también puedan ser atacadas a través de Internet desde cualquier lugar del mundo.

  • Los sensores del IoT y OT utilizan un sistema operativo heredado (en promedio, de 10 a 15 años) implementado en un entorno delicado que no se puede desactivar para aplicar actualizaciones o parches o un sistema operativo exclusivo que no permite la instalación de software de seguridad. Esto hace que sea muy difícil establecer controles de seguridad tradicionales como con un activo de TI regular.

  • Los sensores del IoT y OT más recientes ahora incluyen una gama mucho más amplia de funciones, lo que los hace más atractivos para los actores de amenazas. Además, surgió una nueva generación de atacantes durante la última década. Los hacktivistas y los ciberterroristas están dispuestos a generar una violación de datos con un impacto de alto perfil sin ganancia financiera, por ejemplo, infligir daños económicos a una empresa o daños a la infraestructura de un país o región, para apoyar una agenda política.

  • Muchos dispositivos del IoT no tienen periféricos, lo que significa que no hay un “Patch Wednesday” (miércoles de parches) para ellos, ya que no se pueden actualizar. En cambio, las organizaciones deben confiar en los controles de proximidad y el acceso a la red de confianza cero para brindar protección.


Desde el ataque de Stuxnet de 2010, las redes de OT reciben más ataques. Todos recordamos la botnet Mirai diseñada para comprometer millones de dispositivos del IoT y OT en todo el mundo para ejecutar un ataque DDoS exitoso contra la infraestructura de Internet de EE. UU. Los ciberataques basados en OT se dirigieron a las redes eléctricas nacionales, oscureciendo los hogares de cientos de miles de personas. También, los ataques dirigidos contra dispositivos del IoT y OT instalados en las estaciones de bombeo de agua de un país del Medio Oriente por parte de un actor estatal fue un intento para envenenar el suministro de agua al aumentar los niveles de cloro en el agua que fluye hacia las áreas residenciales.


Utilización del engaño para proteger su infraestructura de OT

Probablemente se esté preguntando: si esta es la nueva realidad en la que vivimos, ¿cómo puedo proteger mi red de las amenazas basadas en el IoT y OT? ¿Las desconecto? ¿Actualizo el firmware? ¿Aplico control de acceso a la red? ¿Aplico segmentación de red? La respuesta puede ser SÍ para cualquiera o todas, según sus circunstancias. Pero hay otra estrategia que le permite a su organización ser mucho más proactiva y consiste en integrar la tecnología del engaño (Deception Technology) a su pila de seguridad actual. Un enfoque de seguridad proactivo, como el uso de tecnología del engaño, no ataca al atacante. En cambio, utiliza de forma proactiva las técnicas y tácticas del atacante contra él mismo. La idea es sencilla. La tecnología del engaño permite al equipo de TI “implementar” activos virtuales falsos sobre la infraestructura, lo que genera datos falsos en su endpoint y en sus servidores.


Esta red fabricada engaña a los actores de amenazas, alejándolos de sus activos críticos y evitando que hagan un daño real a su red. No obstante, lo que es más importante, dado que todos sus dispositivos y flujos de trabajo legítimos saben que estos activos son falsos, solo los usuarios, dispositivos y aplicaciones no autorizados los activarán. Esta estrategia es especialmente efectiva en entornos de red maduros. Agregar estrategias de engaño a las soluciones SOC, por ejemplo, permite a los equipos de TI utilizar Deception como una “fuente de alerta de alta fidelidad”. Debido a que las alertas de la tecnología Deception solo las pueden activar los usuarios, dispositivos y aplicaciones no autorizados, las organizaciones pueden usarlas de manera más efectiva para establecer la automatización en torno a las funciones de búsqueda de amenazas y respuesta a incidentes. Aún mejor, las mejores tecnologías Deception no solo protegen contra amenazas conocidas, sino que también pueden detectar, analizar y defenderse contra ataques de día cero y otros ataques avanzados, a menudo en tiempo real. La tecnología Deception permite una postura de seguridad más proactiva al engañar a los atacantes, detectarlos y luego derrotarlos, lo que permite que la empresa vuelva a las operaciones normales.


Adopte la tecnología del engaño en su estrategia de seguridad de OT

Estas son algunas razones clave por las que la tecnología del engaño (Deception) debería incluirse en cualquier pila de seguridad:


1. Proporciona una detección temprana posterior a la violación de datos, a menudo antes de que el malware descargado pueda causar daños graves.


2.Reduce el tiempo de permanencia de una violación de datos de red, ahora más de seis meses, al detectar malware diseñado para sondear silenciosamente la red en busca de vulnerabilidades mientras evita la detección.


3.Reduce efectivamente los falsos positivos debido a que es un sistema a prueba de fallas, lo que significa que solo funciona cuando algo se comporta mal.


4. Se puede implementar en la mayoría de los entornos de OT para obtener visibilidad y control sobre dispositivos del IoT y otros dispositivos de OT que no se pueden proteger con soluciones más tradicionales.


5.Una buena tecnología de detección es ampliamente escalable y tiene poco o ningún impacto en el rendimiento normal de la red.


6. Configurar y administrar una solución basada en el engaño es simple y la detección de amenazas está completamente automatizada. Al implementar la tecnología del engaño como parte de la pila de seguridad, puede actuar como una “fuente de alerta de alta fidelidad” para automatizar la detección, respuesta y corrección de amenazas.

Fuente:

https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/02_Collateral/WhitePaper/WP-FortiDeceptor-AddressingTheSecurityRiskDX_ES.pdf

5 vistas0 comentarios