Los ataques cibernéticos a los entornos OT ocurridos en los últimos años y su posterior análisis exhaustivo de las técnicas utilizadas para eso, son los que nos han dado la clave para poder evitarlos.
Además, también ha sido posible poder conocer las motivaciones de los delincuentes y sus ciberamenazas, su forma de trabajar y cómo y por dónde atacan.
Gracias a estos datos las pymes industriales han ido ido analizando, estableciendo medidas de protección y mitigación a través de los equipos de respuesta.
Si quieres saber más sobre las amenazas más comunes del sector y de cómo crear una estrategia de ciberseguridad, accede a las siguientes publicaciones:
–Ciberseguridad en pymes: ¿A qué peligros se enfrentan?
–CIBERSEGURIDAD EN EMPRESAS: ¿CÓMO CONSTRUIR UNA ESTRATEGIA DE CIBERSEGURIDAD?
En esta ocasión, nos centraremos en cómo y cuáles son los equipos de respuesta que hacen posible la disuasión de estos ciberataques, muy peligrosos para nuestros entornos de trabajo.
¿Cómo funcionan los ataques cibernéticos en nuestros entornos OT?
En general tenemos la idea equívoca de que los ataques a estos entornos suceden de forma accidental. Sin embargo, está comprobado que estos ataques cibernéticos están perpetrados por criminales que han estudiado conscientemente las redes, lo que convierte a estos ataques en ataques realizados de forma intencionada y estudiada.
Por esta razón, lo que creemos que tenemos controlado dista mucho de lo que debemos de controlar. Este error conceptual del que hablamos tiene un impacto muy grande en nuestra ciberseguridad y esto se debe a que las medidas que deberíamos de tomar, no son las mismas para disuadir una amenaza que nos acecha de forma dirigida o no dirigida.
¿Estás bien preparado para soportar una de estas ciberamenazas?
Esta es una pregunta que nos deberíamos de hacer, aunque pensemos que sí estamos preparados.
Si realizáramos ahora mismo una encuesta, la mayoría de respuestas serían que están bien preparados para recibir cualquier tipo de ataques cibernéticos . Pero si preguntamos: ¿Qué técnicas, tecnologías, soluciones o definiciones utilizas? Muchos utilizarían simples softwares sin tener en cuenta las amenazas realmente peligrosas para el entorno OT.
La sensación de estar bien preparados a niveles de ciberseguridad puede ser una falsa sensación una vez que somos conscientes de las consecuencias que pueden tener los ciberataques (aquí dejaría ciberataque por no repetir demasiado) para nuestra compañía.
Por ejemplo, el uso de USB es muy común, pero ¿sabías que el 39% del malware entra a través de este dispositivo? Una vez infecta la red, se convierte en una ciberamenaza transversal y sus consecuencias pueden ser más serias de lo que parecen.
Algunos tipos de estándares de calidad, como el estándar ISA95, definen los tipos de arquitecturas que se basan en cuatro niveles, los cuales pretenden dar pautas de buenas prácticas a la hora de diseñar estos entornos industriales de forma segura.
¿Qué hacen las organizaciones del entorno industrial para prevenir estos ataques cibernéticos?
Las pymes industriales, normalmente, suelen seguir estos tres pasos a la hora de la prevención:
- Incrementar la visibilidad de los activos dentro del entorno industrial y sus configuraciones.
- Ejecutar diagnósticos o auditorías para poder valorar el nivel de seguridad real.
- Realizar test de intrusión, para ver cuáles son los agujeros que puede haber en nuestras redes industriales.
¿Cómo trabajan los equipos CERT con estos conocimientos?
Gracias a las medidas que se utilizan para prevenir las amenazas que hemos comentado en el punto anterior, podemos generar un aprendizaje que nos ayude a establecer medidas que mejorarán nuestra protección y nos ayuden a predecir esos posibles ataques cibernéticos a nuestras redes OT.
Además, podremos identificar posibles elementos que intervienen en diferentes tipos de ciberataques o que procedan de diferentes actores: IOCs, que pueden ser Hash Values, IP Addres, Domain Names, Tools, TTPs, etc.
¿Cómo utilizar ATT&ACK en nuestros equipos SOC?
Para poder utilizar esta matriz y ponerla en práctica, deberemos mapear los vectores de ataque con las técnicas de ATT&ACK. Nuestra respuesta de incidentes se basa en el marco metodológico del NIST, por lo que ATT&ACK nos ayuda en el establecimiento de acciones en cada una de las fases marcadas por el NIST.
Para ello, identificamos, protegemos, detectamos, respondemos y recuperamos ante estos ataques cibernéticos, a través de la utilización adecuada de las técnicas en cada una de las fases del proceso de respuesta.
Desde nuestro CERT, utilizamos el valor de toda esa información para:
- Los procesos de inteligencia.
- Evolucionar nuestros sistemas de detección y monitorización.
- Identificar nuevas técnicas y desarrollar Playbooks.
- Dotar de nuevas capacidades a los equipos de respuesta.
- Aplicación de estas técnicas de detección en proyectos de I+D.
Además, si nos apoyamos en marcos de trabajo como ATT&ACK podremos modelar una intrusión de forma que podamos identificar cada uno de los pasos del ataque y poder así protegernos frente a él.
¿Quieres potenciar la ciberseguridad en tu empresa? Ponte en contacto con nosotros y te ayudamos a construir la estrategia más adaptada a tus necesidades.
