Skip to content

CIBERATAQUES ¿CÓMO RESPONDER ANTE ELLOS A TRAVÉS DE LA ORGANIZACIÓN EFICIENTE DE LOS EQUIPOS DE RESPUESTA CERT/SOC?

Fecha del evento:
Hora de inicio:
Hora de fin:
Lugar:
Ponentes:
ciberataques

Los ciberataques a los entornos OT ocurridos en los últimos años, son los que nos han dado la clave para poder evitarlos, a través de un análisis exhaustivo de las técnicas utilizadas para su perpetuación.

Además, también ha sido posible poder conocer las motivaciones de los ciberdelincuentes, su forma de trabajar y cómo y por dónde atacan.

Gracias a estos datos que hemos ido analizando, ha sido posible establecer medidas de protección y mitigación a través de nuestros equipos de respuesta.

En este post de hoy, vamos a explicaros cómo y cuáles son los equipos de respuesta que hacen posible la disuasión de estos ciberataques, muy peligrosos para nuestros entornos de trabajo.

¿Cómo funcionan los ciberataques en nuestros entornos OT?

En general tenemos la idea equívoca de que los ataques a estos entornos suceden de forma accidental. Sin embargo, está comprobado que estos ataques están perpetrados por ciber criminales que han estudiado conscientemente las redes, lo que convierte a estos ataques en ataques realizados de forma intencionada y estudiada.

Por esta razón, lo que creemos que tenemos controlado dista mucho de lo que debemos de controlar.

Este error conceptual del que hablamos tiene un impacto muy grande en nuestra ciberseguridad y esto se debe a que las medidas que deberíamos de tomar, no son las mismas para disuadir una amenaza que nos acecha de forma dirigida o no dirigida.

ciberataques

¿Estás bien preparado para soportar una de estas amenazas?

Esta es una pregunta que nos deberíamos de hacer, aunque pensemos que sí estamos preparados.

Si realizáramos ahora mismo una encuentra, la mayoría de respuestas serían que están bien preparados para recibir cualquier tipo de ciberataques. Pero si preguntamos: ¿Qué técnicas, tecnologías, soluciones o definiciones utilizas? Muchos utilizarían simples softwares sin tener en cuenta las amenazas realmente peligrosas para nuestro entorno OT.

La sensación de estar bien preparados a niveles de ciberseguridad puede ser una falsa sensación una vez que somos conscientes de las consecuencias que pueden tener los ciberataques para nuestra compañía.

¿Sabías que un 39% del malware entra a través de un dispositivo USB? Cuando este entra en contacto e infecta nuestra red, se convierte en una amenaza transversal, con lo que las afecciones que puede provocar a la empresa, son mucho más serias de las que podríamos pensar.

Algunos tipos de estándares de calidad, como el estándar ISA95, definen los tipos de arquitecturas que se basan en cuatro niveles, los cuales pretenden dar pautas de buenas prácticas a la hora de diseñar estos entornos industriales de forma segura.

¿Qué hacen las organizaciones del entorno industrial para prevenir estas amenazas?
  • En primer lugar, incrementan la visibilidad de los activos dentro del entorno industrial y sus configuraciones.
  • Ejecutan diagnósticos o auditorías para poder valorar el nivel de seguridad real.
  • También se realizan test de intrusión, para ver cuáles son los agujeros que puede haber en nuestras redes industriales.
¿Cómo trabajan los equipos CERT con estos conocimientos?

Gracias a las medidas que se utilizan para prevenir las amenazas que hemos comentado en el punto anterior, podemos generar un aprendizaje que nos ayude a establecer medidas que mejorarán nuestra protección y nos ayuden a predecir esos posibles ciberataques a nuestras redes OT.

Además, podremos identificar posibles elementos que intervienen en diferentes tipos de ciberataques o que procedan de diferentes actores: IOCs, que pueden ser Hash Values, IP Addres, Domain Names, Tools, TTPs, etc.

¿Cómo podemos afectar directamente a los ataques en cadena de los ciber delincuentes?

Apoyándonos en marcos de trabajo como ATT&ACK podremos modelar una intrusión de forma que podamos identificar cada uno de los pasos del ataque y poder así protegernos frente a él.

¿Cómo utilizar ATT&ACK en nuestros equipos SOC?

Para poder utilizar esta matriz y ponerla en práctica, deberemos de mapear los vectores de ataque con las técnicas de ATT&ACK. Nuestra respuesta de incidentes se basa en el marco metodológico del NIST, por lo que ATT&ACK nos ayuda en el establecimiento de acciones en cada una de las fases marcadas por el NIST.

Para ello, identificamos, protegemos, detectamos, respondemos y recuperamos ante estos ciberataques, a través de la utilización adecuada de las técnicas en cada una de las fases del proceso de respuesta.

Desde nuestro CERT, utilizamos el valor de toda esa información para:

  • Los procesos de inteligencia.
  • Evolucionar nuestros sistemas de detección y monitorización.
  • Identificar nuevas técnicas y desarrollar Playbooks.
  • Dotar de nuevas capacidades a los equipos de respuesta.
  • Aplicación de estas técnicas de detección en proyectos de I+D.

ciberataques

Artículos recomendados