Yaakov's Group | Ciberseguridad

Alerta (AA20-205A)

Comparte este post en tus redes sociales

NSA y CISA recomiendan acciones inmediatas para reducir la exposición a través de tecnologías operativas y sistemas de control

Resumen

En los últimos meses, los ciber actores han demostrado su continua disposición a realizar actividades cibernéticas maliciosas contra la infraestructura crítica (CI) mediante la explotación de activos de tecnología operativa (OT) accesibles a Internet. [1] Debido al aumento de las capacidades y la actividad del adversario, la importancia crítica para la seguridad nacional y el estilo de vida de los EE. UU. Y la vulnerabilidad de los sistemas de OT, la infraestructura civil se convierte en objetivos atractivos para las potencias extranjeras que intentan dañar los intereses de EE. UU. O tomar represalias por la agresión percibida de EE. Los activos de OT son fundamentales para la misión del Departamento de Defensa (DoD) y sustentan los servicios y los Sistemas de Seguridad Nacional (NSS) esenciales, así como la Base Industrial de Defensa (DIB) y otra infraestructura crítica. En este momento de intensas tensiones, es fundamental que los propietarios de activos y los operadores de infraestructura crítica tomen los siguientes pasos inmediatos para garantizar la resiliencia y seguridad de los sistemas estadounidenses en caso de que surja un momento de crisis en el corto plazo. La Agencia de Seguridad Nacional (NSA) junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recomiendan que todas las instalaciones de infraestructura crítica del DoD, NSS, DIB y de EE. UU. Tomen medidas inmediatas para asegurar su OT.

Los activos de OT accesibles a través de Internet son cada vez más frecuentes en los 16 sectores de CI de EE. UU. A medida que las empresas aumentan las operaciones y el monitoreo remotos, acomodan una fuerza laboral descentralizada y expanden la subcontratación de áreas de habilidades clave como instrumentación y control, administración / mantenimiento de activos de OT, y en algunos casos, operaciones de proceso y mantenimiento. Los activos de OT heredados que no fueron diseñados para defenderse de actividades cibernéticas maliciosas, combinados con información fácilmente disponible que identifica los activos de OT conectados a través de Internet (por ejemplo, Shodan, [2] Kamerka [3]), están creando una «tormenta perfecta» de 1 ) fácil acceso a activos no seguros, 2) uso de información común de código abierto sobre dispositivos, y 3) una lista extensa de exploits implementables a través de marcos de exploits comunes [4] (por ejemplo, Metasploit, [5] Core Impact, [6] e Immunity Canvas [7]). Las actividades de ciberamenazas observadas se pueden asignar al marco de MITRE Tácticas, técnicas y conocimientos comunes (ATT & CK) para sistemas de control industrial (ICS). [8] Es importante tener en cuenta que, si bien es posible que el comportamiento no sea técnicamente avanzado, sigue siendo una amenaza grave porque el impacto potencial en los activos críticos es muy alto.

Detalles técnicos

Tácticas, técnicas y procedimientos recientemente observados
Spearphishing [T1192] para obtener acceso inicial a la red de tecnología de la información (TI) de la organización antes de pasar a la red OT.
Implementación de ransomware de productos básicos para cifrar datos para impacto [T1486] en ambas redes.
Conexión a PLC accesibles a Internet [T883] que no requieren autenticación para el acceso inicial.
Utilizando puertos de uso común [T885] y protocolos de capa de aplicación estándar [T869], para comunicarse con los controladores y descargar la lógica de control modificada.
Uso de software de ingeniería del proveedor y descargas de programas [T843].
Modificación de la lógica de control [T833] y los parámetros [T836] en los PLC.

Impactos

Impactando una pérdida de disponibilidad [T826] en la red OT.
Pérdida parcial de visión [T829] para operadores humanos.
Resultando en Pérdida de Productividad e Ingresos [T828].
Manipulación del control por parte del adversario [T831] y alteración de los procesos físicos.

Mitigaciones

Tenga un plan de resiliencia para OT
Desde el ciberataque de Ucrania de 2015, las organizaciones deben asumir en su planificación no solo un sistema de control defectuoso o inoperante, sino un sistema de control que actúa activamente en contra de la operación segura y confiable del proceso. Las organizaciones necesitan un plan de resiliencia de TO que les permita:

  • Desconecte inmediatamente los sistemas de Internet que no necesiten conectividad a Internet para operaciones seguras y confiables. Asegúrese de que los controles de compensación estén en su lugar donde la conectividad no se pueda eliminar.
  • Planifique las operaciones continuas del proceso manual en caso de que el ICS no esté disponible o deba desactivarse debido a una toma de control hostil.
  • Elimine la funcionalidad adicional que podría inducir un riesgo y atacar la superficie.
    Identificar dependencias operativas y del sistema.
  • Restaurar los dispositivos y servicios OT de manera oportuna. Asignar roles y responsabilidades para la restauración de dispositivos y redes OT.
  • Respalde recursos de “copia de oro”, como firmware, software, lógica de escalera, contratos de servicio, licencias de productos, claves de productos e información de configuración. Verifique que todos los recursos de «copia de oro» estén almacenados fuera de la red y almacene al menos una copia en un entorno protegido contra manipulaciones (por ejemplo, caja fuerte cerrada).
  • Pruebe y valide las copias de seguridad y los procesos de datos en caso de pérdida de datos debido a una actividad cibernética maliciosa.

Ejercite su plan de respuesta a incidentes

En un estado de mayor tensión y riesgo y exposición adicionales, es fundamental tener un plan de respuesta a incidentes bien ejercitado que se desarrolle antes de un incidente.

Realice un ejercicio de mesa, incluido el personal ejecutivo, para probar su plan de respuesta a incidentes existente.
Asegúrese de incluir a sus equipos de asuntos públicos y legales en su ejercicio, además de su TI, OT y administración ejecutiva.
Discuta los puntos clave de decisiones en el plan de respuesta e identifique quién tiene la autoridad para tomar decisiones clave bajo qué circunstancias.
Asegúrese de que su plan tenga en cuenta un escenario que incluya los TTP anteriores y donde el sistema de control esté operando activamente en contra de operaciones seguras y confiables.
Asóciese con terceros para obtener soporte. Revise los contratos de servicio y los servicios gubernamentales para la respuesta a incidentes de emergencia y el apoyo de recuperación.

Fortalezca su red

La conectividad remota a redes y dispositivos OT proporciona una ruta conocida que puede ser aprovechada por los ciber actores. La exposición externa debe reducirse tanto como sea posible.
Elimine el acceso a redes, como direcciones IP que no sean de EE. UU., Si corresponde, que no tengan razones comerciales legítimas para comunicarse con el sistema.
Utilice herramientas disponibles públicamente, como Shodan, para descubrir dispositivos OT accesibles por Internet. Tome medidas correctivas para eliminar o mitigar las conexiones accesibles a Internet de inmediato. Las mejores prácticas incluyen:
Parche completamente todos los sistemas accesibles por Internet.
Segmente las redes para proteger los PLC y las estaciones de trabajo de la exposición directa a Internet. Implemente arquitecturas de red seguras utilizando zonas desmilitarizadas (DMZ), firewalls, servidores de salto y / o diodos de comunicación unidireccionales.
Asegúrese de que todas las comunicaciones con dispositivos remotos utilicen una red privada virtual (VPN) con un cifrado sólido y protegido con autenticación multifactor.

Verifique y valide la necesidad comercial legítima de dicho acceso.

Filtre el tráfico de la red para permitir solo las direcciones IP que se sabe que necesitan acceso y utilice el bloqueo geográfico cuando corresponda.
Conecte estaciones de trabajo y PLC remotos a los sistemas de detección de intrusos en la red cuando sea posible.
Capture y revise los registros de acceso de estos sistemas.
Cifre el tráfico de red preferiblemente utilizando productos VPN validados por NIAP y / o algoritmos aprobados por CNSSP o NIST cuando sean compatibles con componentes del sistema OT para evitar espionaje y tácticas intermedias. Disponible en: https://niap-ccevs.org.
Utilice el inventario validado para investigar qué dispositivos OT son accesibles por Internet.
Utilice el inventario validado para identificar los dispositivos OT que se conectan a redes empresariales, de telecomunicaciones o inalámbricas.

Asegure todos los accesos remotos y cuentas de usuario requeridos y aprobados.
Prohibir el uso de contraseñas predeterminadas en todos los dispositivos, incluidos controladores y equipos OT.
Elimine, deshabilite o cambie el nombre de las cuentas del sistema predeterminadas siempre que sea posible, especialmente aquellas con privilegios elevados o acceso remoto.

Haga cumplir una política de seguridad de contraseña sólida (por ejemplo, longitud, complejidad).
Exija a los usuarios que cambien las contraseñas periódicamente, cuando sea posible.
Haga cumplir o planee implementar la autenticación de dos factores para todas las conexiones remotas.
Fortalezca o deshabilite funciones y servicios innecesarios (por ejemplo, servicios de descubrimiento, servicios de administración remota, servicios de escritorio remoto, simulación, capacitación, etc.).

Cree un mapa de red OT exacto «en funcionamiento» inmediatamente

Un mapa de infraestructura OT preciso y detallado proporciona la base para una reducción sostenible del riesgo cibernético.

  • Documentar y validar un mapa de red OT preciso «en el estado de funcionamiento».
    Utilice herramientas y procedimientos proporcionados por el proveedor para identificar los activos de OT.
  • Utilice herramientas disponibles públicamente, como Wireshark, [9] NetworkMiner, [10] GRASSMARLIN, [11] y / u otras herramientas de mapeo de redes pasivas.
    Camine físicamente hacia abajo para verificar y verificar el mapa de infraestructura OT.
    Crea un inventario de activos.
    Incluya los dispositivos OT asignados a una dirección IP.
    Incluya versiones de software y firmware.
    Incluye lógica de proceso y programas OT.
    Incluya medios extraíbles.
    Incluye equipo de reserva y de repuesto.
  • Identifique todos los protocolos de comunicación utilizados en las redes OT.
    Utilice las herramientas y los procedimientos proporcionados por el proveedor para identificar las comunicaciones OT.
    Utilice herramientas disponibles públicamente, como Wireshark, [9] NetworkMiner, [10] GRASSMARLIN, [11] y / u otras herramientas de mapeo de redes pasivas.
  • Investigue todas las comunicaciones OT no autorizadas.
  • Catalogue todas las conexiones externas hacia y desde las redes OT.
    Incluya todas las conexiones comerciales, de proveedores y otras conexiones de acceso remoto.
    Revise los contratos de servicio para identificar todas las conexiones remotas utilizadas para servicios de terceros.

Comprender y evaluar el riesgo cibernético de los activos de OT «en el estado operativo»

Se puede desarrollar una conciencia informada sobre los riesgos utilizando una variedad de recursos fácilmente disponibles, muchos de los cuales incluyen pautas y mitigaciones específicas.

  • Utilice el inventario de activos validado para investigar y determinar los riesgos específicos asociados con los dispositivos OT existentes y el software del sistema OT.
    Avisos técnicos y de ciberseguridad específicos del proveedor.
    Avisos CISA [12].
    Departamento de Seguridad Nacional – Herramienta de evaluación de seguridad cibernética de la Agencia de Seguridad de Infraestructura y Ciberseguridad [13].
    MITRE Common Vulnerabilities and Exposures (CVE) para dispositivos de tecnología de la información y OT y software de sistema [14]. Disponible en https://cve.mitre.org.
    Instituto Nacional de Estándares y Tecnología – Base de datos nacional de vulnerabilidad [15]. Disponible en https://nvd.nist.gov.
  • Implemente mitigaciones para cada vulnerabilidad conocida relevante, siempre que sea posible (por ejemplo, aplique parches de software, habilite los controles de seguridad recomendados, etc.).
  • Audite e identifique todos los servicios de red OT (por ejemplo, descubrimiento de sistemas, alertas, informes, tiempos, sincronización, comando y control) que se estén utilizando.
    Utilice herramientas y procedimientos de programación y / o diagnóstico proporcionados por el proveedor.

Implementar un programa de monitoreo continuo y vigilante del sistema

Un programa de monitoreo atento permite la detección de anomalías en el sistema, incluidas muchas tácticas cibernéticas maliciosas como las técnicas de «vivir de la tierra» dentro de los sistemas OT.

  • Registre y revise todas las conexiones de acceso externo autorizadas para detectar un mal uso o una actividad inusual.
  • Supervise los intentos de cambio de controlador no autorizados.
    Implementar comprobaciones de integridad de la lógica del proceso del controlador frente a una buena línea de base conocida.
    Siempre que sea posible, asegúrese de evitar que los controladores de proceso permanezcan en el modo de programa remoto mientras están en funcionamiento.
    Bloquee o limite los puntos de ajuste en los procesos de control para reducir las consecuencias del acceso no autorizado al controlador.

 

Nota: Esta alerta de actividad utiliza el marco de Tácticas, técnicas y conocimiento común de MITRE Adversarial (ATT & CK®). Consulte los marcos de ATT & CK para empresas y ATT & CK para sistemas de control industrial para conocer todas las técnicas y mitigaciones de actores de amenazas a las que se hace referencia.

Fuente: CISA

Deja un comentario