[01/04/2024] Tradicionalmente, OT se ha identificado con las plantas de producción industrial o las infraestructuras críticas de un país; sin embargo, con el correr de los años, OT se ha incorporado dentro de los centros de datos y las oficinas, junto con la conocida infraestructura TI. Por otro lado, la IoT se ha esparcido también por muchas compañías y muchas industrias, haciendo que tanto la OT como la IoT generen una superficie de ataque más amplia que pueden aprovechar los ciberdelincuentes.
Era pues necesario incorporar estos dos campos dentro de las áreas de interés que tienen que monitorear los profesionales de la seguridad de las organizaciones. Para entender la evolución y crecimiento de esta superficie de ataque, Tenable, la firma de Exposure Management, realizó recientemente una conferencia sobre la situación actual del ciberriesgo y la manera de afrontar estas amenazas. Como expositores de esta conferencia estuvieron presentes Alejandro Dutto, director de Ingeniería de Seguridad de Tenable para América Latina; y Juan Lara, director senior de Ingeniería de Seguridad Operativa de Tenable.
El panorama de la OT y la ciberseguridad
Dutto sostuvo que lo que se tiene que entender en la actualidad es que las redes de OT y IoT se encuentran totalmente integradas en lo que antes eran las redes corporativas tradicionales.
"Entonces, podemos pensar que, si bien OT e IoT están en todas partes, debemos tener en cuenta que las organizaciones cibercriminales también, eso quiere decir que los cibercriminales van a utilizar parte de esta infraestructura que se está anexando a las redes para poder acceder a ellas”, indicó Dutto.
Y la superficie de ataque sigue creciendo. De acuerdo con el ejecutivo, cada minuto se crean 600 nuevos dominios en Internet y se incorporan 117 mil puntos de red; además, cada día se realizan en la nube 250 millones de configuraciones erróneas y se atacan 95 millones de cuentas de Active Directory, mientras que cada semana se publican 480 nuevas vulnerabilidades.
"Esto quiere decir que cuando se ve la nueva superficie de ataque que involucra la red corporativa clásica, la red en la nube y ahora OT, se debe de tener en cuenta que estos campos evolucionan tan dinámica y rápidamente que se debe de pensar en esta superficie de ataque como en una sola. Además, se debe de erradicar el pensamiento que reduce este campo de ataque a las organizaciones de manufactura o infraestructura crítica, pero la verdad es que estos campos son ahora transversales a todo tipo de industria. Por ello, los gobiernos se encuentran ahora enfocados en legislar y crear marcos regulatorios para este tipo de redes e infraestructura crítica”, sostuvo Dutto.
Esto es especialmente importante para la región latinoamericana, ya que según el ejecutivo es una de las regiones más atacadas. Efectivamente, en el 2022 Tenable, junto con Forrester, realizaron un estudio sobre la situación de ciberseguridad de América Latina y se descubrió que más de la mitad de los datos expuestos a nivel mundial provienen de la región. Los famosos leaks de datos son frecuentes en América Latina, representan el 52% de la cifra mundial; además, la administración pública, con 49%, es el sector más atacado de la región, señaló el ejecutivo.
"Algo que también es preocupante es que en México -un dato que podría extrapolarse a la región- sólo el 2% de los encuestados considera que OT es un área de potencial riesgo para la organización, a pesar de que el 40% considera que la organización se encuentra expuesta o vulnerable por defectos en los softwares de OT. Esto puede interpretarse como una gran desconexión entre la comprensión del riesgo en OT y la forma de gestionar ese riesgo de manera efectiva”, indicó Dutto.
Las formas en que se han detectado los ataques a organizaciones de la región fueron una vulnerabilidad, un error de configuración o un exceso de privilegios obtenido.
"Se llega al punto donde los CISO nos están comentando que necesitan priorizar la remediación y necesitan hacerlo de manera preventiva. Hoy la gran mayoría lo hace de manera reactiva”, señaló el ejecutivo.
Los roles del CISO y de Tenable
La forma en que se han percibido los ataques ha ido cambiando con el tiempo. Ahora se puede detectar que se están realizando ataques a la infraestructura crítica de los países.
"La ANS y la parte del gobierno [de Estados Unidos] que se encarga de la seguridad del agua anunciaron que el sector de manejo de agua pública estaba bajo ataque y que todos los sectores tienen que estar pendientes”, añadió, por su parte, Lara.
De hecho, comentó el ejecutivo, hace un par de meses un pequeño pueblo de Pittsburg fue atacado en su infraestructura de provisión de agua potable. "Al inicio, el ataque no parecía tener sentido ya que se trataba de una organización pequeña, en un pueblo pequeño que atendía las necesidades de agua de una zona también muy pequeña. Pero luego se descubrió que el grupo atacante era la Guardia Revolucionaria de Irán, y que lo que en realidad estaban haciendo era probar las herramientas que poseen para este tipo de ataques”.
Entonces, agregó Lara, lo que no se distingue como un ataque importante, en un par de meses puede escalar a ataques a infraestructuras más grandes, en donde se puede utilizar el mismo tipo de ataque en varios sitios. "Es por ese motivo por el que, desde el 2018, se puede distinguir que la conciencia sobre la necesidad de protegerse contra este tipo de ataques es cada vez mayor. Y ahora se puede ingresar por el Wi-Fi de una cafetería, ya que la interconectividad ha degradado la separación que se tenía hace unos 10 años entre las redes”.
Lara anotó que eso ha cambiado el rol del CISO, de acuerdo con la encuesta y de un estudio similar de Gartner que se realizó en la misma época. En ambos casos se determina que es el grupo del CISO el que se tiene que encargar de proteger los activos de la organización.
"Porque son los mismos que tienen que manejar el riesgo tanto para la infraestructura TI como lo que está en las herramientas industriales”, añadió Lara.
Para ello tiene que enfrentar a tres desafíos, indicó el ejecutivo. El primero es el de la visibilidad fragmentada. Se está utilizando una mezcla tan variada de equipos que dificulta el inventario y el mantenimiento. No se puede afirmar con confianza de que los sistemas sean lo suficientemente seguros.
El segundo son los riesgos no anticipados. "Los operadores de OT afirman que el entorno está aislado de la red, a pesar de ello se puede acceder a los equipos de forma remota. Finalmente, el tercer desafío son los datos en silos. Los equipos necesitan saber lo que está ocurriendo en la nube, en la red corporativa y en OT, pero ninguna de las herramientas se comunica entre sí ni proporciona una evaluación unificada de los riesgos”, anotó el ejecutivo.
¿Qué hacer entonces? Lara propuso cinco pasos para proteger el entorno de OT. El primero es evaluar las soluciones de seguridad para activos de OT, incluyendo seguridad de red y dispositivos, visibilidad y control. El segundo paso es mantener un inventario actualizado de activos para monitorear el entorno, incluyendo datos como el inicio de sesión de usuario y las versiones del firmware. El tercer paso es identificar y prevenir puntos ciegos mediante mecanismos de detección integrados en los controladores industriales.
El cuarto paso es protegerse contra comportamientos maliciosos y errores humanos, incluyendo medidas para prevenir acceso no autorizados y mitigar riesgos. Finalmente, el quinto paso es mejorar la eficiencia en la respuesta a incidentes contextualizando alertas con información obtenida automáticamente de dispositivos relevantes.
La herramienta que se propone para este caso es Tenable One para OT/IoT. Una herramienta de la que habíamos escrito, y que, como se señaló, ahora combina una más amplia cobertura de vulnerabilidades, que abarca activos de TI, recursos en la nube, contenedores, aplicaciones web, sistemas de identidades y activos de OT e IoT. "Se basa en la profunda inteligencia de amenazas, el cumplimiento regulatorio y la experiencia y los datos de vulnerabilidades provenientes de Tenable Research, y agrega análisis de datos para priorizar las acciones y reducir el riesgo cibernético, lo que permite visibilidad integral más allá del entorno de TI, abarcando la superficie de ataque moderna; inteligencia de riesgos para mitigar los riesgos operativos; y planificación y toma de decisiones procesables a lo largo de entornos empresariales y de infraestructura crítica”, finalizó Lara.
Jose Antonio Trujillo, CTOPerú