La necesidad de protección del endpoint en infraestructura crítica

This post is also available in: Français (Francés) Deutsch (Alemán)

A medida que proliferan los ciberataques contra sistemas ICS y SCADA, aumenta la necesidad de contar con una protección sólida del endpoint. El rápido crecimiento de Internet, con su constante necesidad de datos, ha provocado que sea casi obligatorio el poder disponer de información en todo momento. Esta avidez de datos conlleva que las corporaciones necesiten proporcionar conexiones a dispositivos situados en sus redes de control de procesos sin ser totalmente conscientes de las posibles consecuencias de tales acciones.

Motivos del aumento de los ataques

Debido a tendencias como el internet de las cosas, también denominado IoT, y la Industria 4.0 (también denominada 4ª revolución industrial), los ataques contra infraestructuras fundamentales cada vez son más prolíficos y precisos.  De hecho, esto se ha observado tanto en el ataque sin éxito que se ha llevado a cabo recientemente contra una empresa petroquímica en Arabia Saudí durante 2018, como la tristemente famosa brecha que paralizó la red eléctrica ucraniana en 2016. Los ciberataques contra infraestructuras críticas se están convirtiendo en algo habitual debido, en parte, a que hay más redes conectadas y dispositivos accesibles para las empresas, junto con la necesidad de datos que generan. Si a esta circunstancia le añadimos que se exige a las empresas que aumenten el rendimiento con menos personal y subcontraten más tareas en un intento de reducir los gastos de explotación anuales, aumenta la posibilidad de que haya carencias en el ámbito de la seguridad —en algunos casos, de forma exponencial lo que se traduce en que los operadores tengan que abordar las peores situaciones posibles. Debido a que es necesario facilitar acceso remoto a los empleados y la asistencia técnica de terceros, las empresas se enfrentan a los problemas derivados de permitir un mayor acceso al entorno y a la ausencia de políticas de seguridad o a políticas mal configuradas que ofrecen vectores de ataque ideales a los ciberdelincuentes.

Asimismo, ha quedado patente que los activos de infraestructuras críticas resultan más fáciles de detectar e identificar sin ninguna interacción directa de posibles atacantes. Al usar técnicas de recopilación de inteligencia de código abierto, bases de datos de Internet como Shodan y geoespionaje, los atacantes pueden localizar estos activos sin ser descubiertos ni dejar ver sus intenciones (un claro ejemplo de la existencia de demasiada información sin protección que está disponible de forma inmediata).

Con independencia del motivo que haya provocado el fallo de seguridad, todas las brechas de una red de control nos demuestran lo peligrosos y desestabilizadores que pueden ser estos endpoints para nuestra vida cotidiana cuando son controlados por personas malintencionadas.

Motivos para atacar endpoints de ICS y SCADA

Los motivos para atacar estos sistemas pueden ser numerosos y diversos, desde el espionaje corporativo con el fin de destruir la marca de un competidor hasta de carácter político, como la intención de influir en los procesos internos del gobierno de una nación enemiga. También observamos ejemplos de ataques cuyos fines son más simplistas como los beneficios económicos o aprendices de ciberdelincuentes que quieren demostrar que pueden tomar el control para poder presumir de ello. Sea cual sea la motivación del atacante, la necesidad de proteger estos activos de infraestructuras críticas es vital para las empresas que los manejan y para la comunidad en general.

Las investigaciones actuales sobre este tema muestran que la cifra de vulnerabilidades asociadas a sistemas ICS y SCADA se duplican cada año. A partir de este año, la cifra estimada de vulnerabilidades relacionadas con infraestructuras consideradas críticas ronda las 400 aproximadamente, una cantidad que seguirá creciendo debido a la naturaleza del funcionamiento de estos sistemas y al reto que plantean en materia de seguridad. Los sistemas operativos anteriores y la cantidad de órdenes de disponibilidad de estos sistemas les convierten en los más difíciles de proteger.

Hay esperanza

A pesar de todos los progresos realizados por los atacantes para acceder a infraestructuras críticas y controlarlas, es posible defender y proteger estos activos tan codiciados.

Una verdadera protección avanzada de endpoints debe tener la capacidad de evitar amenazas conocidas y desconocidas al aprovechar características como las siguientes:

• Aprendizaje automático, que puede ofrecer un veredicto inmediato sobre un ejecutable desconocido antes de que se ejecute en ninguno de los sistemas de una red de procesos.
• Tecnología de espacio aislado virtual que puede determinar si un archivo ejecutable es malicioso antes de que se ejecute en el equipo.
• Identificación de paquetes de software de proveedores de confianza en el entorno y bloqueo de los que no lo son.
• Soporte de los distintos sistemas operativos que controlan la ejecución de sistemas, incluidos aquellos que están al final de su vida útil.
• Preparación para la nube.

Los sistemas ICS/SCADA requieren una protección de endpoint avanzada con capacidad para interrumpir ciberataques conocidos y desconocidos sin afectar a la producción. El enfoque debe ser ligero, ampliable, innovador y capaz de integrar tecnologías nuevas y existentes al mismo tiempo que complementa otras ofertas y procedimientos de prácticas recomendadas. Y, sobre todo, debe ser potente y compatible con sistemas ICS/SCADA.

Si desea saber cómo Palo Alto Networks puede ayudar a los operadores de redes ICS y SCADA a proteger sus infraestructuras críticas, descargue este documento técnico sobre la protección avanzada para endpoints de sistemas ICS/SCADA.