¿Cuáles son los problemas más frecuentes a la hora de proteger un entorno OT?

El éxito de las amenazas persistentes avanzadas (APT) en el sector industrial depende en gran medida de factores humanos y medidas o soluciones de ciberseguridad insuficientes, entre otras causas. Estos son los problemas más habituales que se encuentran los especialistas del Kaspersky ICS CERT:

Falta de aislamiento de la red OT
Durante la investigación de incidentes, los analistas de Kaspersky descubrieron problemas para mantener la red de Tecnología Operativa (OT) separada y segura. Por ejemplo, había máquinas conectadas tanto a la red de TI normal como a la red de OT.

Para Evgeny Goncharov, jefe del Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial en la firma de ciberseguridad, en situaciones en las que el aislamiento de la red OT se centra únicamente en la configuración del equipo de red, los atacantes más experimentados pueden reconfigurar el sistema para su propio beneficio. “Así, pueden transformar el sistema en un conjunto de servidores proxy para controlar el tráfico de malware o, incluso, usarlo para almacenar y enviar ese malware a redes que se creía que estaban aisladas. Hemos sido testigos de tales actividades maliciosas en múltiples ocasiones”, explica.

El factor humano
Al dar acceso a las redes OT a empleados o empresas subcontratadas, a menudo se pasan por alto las medidas de seguridad, circunstancia que los atacantes explotan. Kaspersky analizó un incidente en el que un empleado externo intentó realizar labores de sabotaje aprovechando el acceso remoto a la red ICS (Sistemas de Control Industrial) que se le había dado legítimamente años antes.

Esto demuestra la importancia del factor humano. Cualquier empleado descontento con su salario, por la valoración que de él hacen sus responsables o por un sinfín de motivos más puede iniciar acciones cibernéticas contra la empresa. Una posible solución para combatir estas situaciones pasa por Zero Trust, concepto que supone que no se confía ni en el usuario ni en el dispositivo ni en la aplicación del sistema. A diferencia de otras soluciones de tipo Zero Trust, Kaspersky extiende este enfoque hasta el sistema operativo con sus soluciones basadas en KasperskyOS.

Protección insuficiente de los activos OT
Los expertos de Kaspersky descubrieron bases de datos de soluciones de seguridad desactualizadas, claves de licencia inexistentes, componentes de seguridad desactivados y una patente falta de análisis y protección, lo que contribuye a la propagación del malware.

Si las bases de datos no están actualizadas y las soluciones de seguridad no se ponen al día automáticamente, las amenazas de tipo APT se pueden propagar fácil y rápidamente.

Mala configuración de las soluciones de seguridad
Una buena configuración de las soluciones de seguridad es crucial para la protección, algo que tienen en cuenta los grupos APT. Pueden robar información de las víctimas almacenada en dichas soluciones o romper las defensas a través de movimientos laterales.

En 2022, Kaspersky descubrió una nueva tendencia en las tácticas APT. Los ciberdelincuentes ya no se limitan al secuestro de sistemas TI críticos, como puede ser el caso del controlador de dominio (servidor clave de la infraestructura). Sus objetivos varían desde la incorporación de malware en paquetes de programas no controlados hasta su propagación a través de diferentes herramientas, incluso sobre sistemas que se supone que están separados por completo de la red infectada.

Ausencia de protección en las redes OT
En algunas redes OT, por extraño que parezca, las soluciones de ciberseguridad endpoint no están instaladas. Aunque la red OT esté completamente separada y no tenga conexión a Internet, los atacantes pueden acceder con versiones específicas de malware propagadas a través de unidades extraíbles como discos USB.

Actualizaciones de seguridad de estaciones de trabajo y servidores
Los Sistemas de Control Industrial funcionan de una forma muy particular. Tareas tan sencillas como instalar actualizaciones de seguridad requieren de pruebas muy minuciosas que a menudo se realizan durante las labores de mantenimiento. Esto hace que no se actualicen con regularidad, lo que permite a los ciberdelincuentes explotar las vulnerabilidades.

“En algunos casos, la actualización del sistema operativo del servidor puede requerir a su vez de la actualización de un software especializado (como el servidor SCADA). Esto puede resultar costoso, por eso hay sistemas obsoletos en las redes de Sistemas de Control Industrial”, explica Goncharov.