Buenas prácticas: lecciones aprendidas en la identificación de amenazas y respuesta a intrusiones

Fecha de publicación 27/06/2019
Autor
INCIBE (INCIBE)
Lecciones aprendidas

Con el paso del tiempo, los ciberataques se han vuelto cada vez más sofisticados, ya que la tecnología evoluciona, constantemente, y los ciberdelincuentes buscan nuevas formas y métodos de penetrar en los sistemas, elaborar malware más complejos y novedosos, etc.

Por esta razón tenemos que mirar atrás y no olvidar las lecciones que podemos aprender del pasado, para evitar posibles amenazas o combatirlas, y seguir mejorando mediante buenas prácticas para la detección de amenazas y respuesta a intrusiones.

Para ello, el primer paso es saber a qué tipo de riesgos nos estamos exponiendo ya que, aunque las medidas de seguridad estén bien implantadas, siempre existe el riesgo de que haya una amenaza o intrusión. Por estos motivos, es necesario tener un plan de protección y respuesta contra amenazas e intrusiones con pautas bien definidas.

Las amenazas

Una amenaza es una circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. Puede tener causas naturales, ser accidental o intencionada. Si esta circunstancia desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas o aprovechando su existencia, puede derivar en un incidente de seguridad

Un tipo concreto de ellas, son las amenazas persistentes avanzadas (APT), unas de las más complejas que existen y que, a su vez, constituyen uno de los riesgos más altos de todos, un ejemplo de ello es BlackEnergy.

Lecciones aprendidas en la identificación de amenazas y respuesta a intrusiones

Las amenazas avanzadas que se ven hoy en día suponen un problema, ya que la gran conectividad de los sistemas industriales supone estar en constante exposición. La idea es aprender e ir mejorando nuestra seguridad para no quedarse atrás en comparación con estas amenazas que no paran de evolucionar y poder seguir identificándolas antes de que puedan constituir un riesgo real para los sistemas de control.

La respuesta a intrusiones comienza cuando los sistemas de prevención de amenazas han fallado, ya que han conseguido penetrar en la red de la empresa, y los sistemas de detección han identificado algún evento sospechoso. Esto se ha podido producir porque los métodos de identificación no han sido usados correctamente, por tratarse de una nueva amenaza de tipo 0-day, un fallo que interrumpa la continuidad del negocio o insiders.

Por estas razones, los siguientes puntos clasificados en categorías deberían tenerse en cuenta a la hora de construir una guía de buenas prácticas de uso común en los sistemas de control, todas ellas surgen a partir de las lecciones aprendidas fruto de la investigación o del estudio de casos de intrusiones ocurridos, anteriormente, como Stuxnet, BlackEnergy o WannaCry.

Notas

  • General:
    • Analizar, diseñar, elaborar e implementar una buena normativa de ciberseguridad específica para cada industria o instalación, en función del tamaño o sector.
    • Sistemas de control con dispositivos bien bastionados, utilizando únicamente los procesos y servicios estrictamente necesarios para, de esta forma, reducir el área de exposición y evitar posibles ataques.
    • Buena configuración de los sistemas y uso de herramientas para prevenir cualquier amenaza posible en los sistemas de control.
    • Tener un inventario donde se identifiquen y clasifiquen todos los activos.
    • Buena coordinación entre TO y TI, ya que al final es necesaria su cooperación para una óptima seguridad.
    • La facilidad o rapidez al detectar la intrusión y ver tanto el alcance (equipos afectados y posibles pérdidas) como las soluciones más eficaces, junto con una red bien inventariada que ayude a ello.
    • En caso de producirse un problema, intentar erradicarlo de una manera rápida y eficiente, viendo qué recursos se han visto afectados y eliminando todo archivo o elemento que esté infectado o sea malicioso. Incluso se aconseja, si es necesario, la reinstalación de los sistemas afectados o la recuperación de datos mediante copias de seguridad.
    • Asignar a un equipo responsable de dar respuesta (personal de ciberseguridad) y llevar a cabo las pautas establecidas en cada caso.
    • Llevar a cabo mejoras constantes en la seguridad, ya que nos permitirá estar más protegidos contra nuevas amenazas.    
  • Redes, segmentación y normativas:
    • Detectar posibles brechas de ciberseguridad respecto a buenas prácticas pertenecientes a normativas o estándares, tales como NERC CIP, NIST 800-82 o IEC 62443, entre otros.
    • Tener una red bien segmentada con los dispositivos y equipos correctamente conectados como indica la ISA-95. Dificultando cualquier posible intrusión y propagación entre los diferentes segmentos de red.
    • Implementar mecanismos de contención de la intrusión para que no se extienda a otros dispositivos o equipos dentro de la empresa. De esta forma, se intentarán minimizar daños dentro de lo posible, mediante cambios de contraseña o bloqueo de cuentas. Para equipos críticos, es posible quitarlos de la red, aislándolos en una VLAN o apagándolos, si fuera necesario.
  • Herramientas y dispositivos técnicos de seguridad:
    • Desplegar herramientas (IDS/IPS) para la detección de cualquier intrusión. Entre ellas, puede haber escáner de vulnerabilidades y de ficheros, antimalware, análisis de logs o forense, honeypot, etc., es decir, las máquinas deben estar preparadas ante todo tipo de intrusiones posibles, ya que esto mejorará nuestra eficacia, además de poder evolucionar o mejorar ante nuevos malware, gracias al estudio e investigación de los mismos.
    • Evaluar periódicamente las vulnerabilidades de los Sistemas de Control Industrial.
    • Controlar los medios extraíbles y determinar si son seguros, ya que podrían provocar, fácilmente, una intrusión. Llevar a cabo una implementación de seguridad más exhaustiva para los dispositivos USB, ya que son indispensables a la hora de actualizar dispositivos críticos. Un uso seguro de estos medios extraíbles y la implantación de kioscos frontera mejorará la prevención de intrusiones en nuestros dispositivos.
    • Utilizar cortafuegos industriales que ofrezcan una seguridad extra debido al uso de inspección profunda de paquetes (DPI) en protocolos industriales como Modbus o IEC 104, funcionamiento en modo transparente, además de un bastionado y control de acceso más robusto para estos cortafuegos industriales.
    • Uso de un SIEM (Gestión de la información de seguridad y de eventos), el cual aporta múltiples capacidades como la detección en tiempo real, recopilación, análisis y presentación de información de la red y dispositivos de seguridad. Además, de la gestión de identidades y accesos, de vulnerabilidades, logs o datos de amenazas externas.
    • Uso de herramientas DLP (Prevención de pérdida de datos) que soporten protocolos de control industriales como Modbus u OPC y ayuden a proteger el perímetro de la red de planta de amenazas que provienen de la red corporativa o externa.
    • Asignar a un equipo dedicado al análisis de malware para aprender su funcionamiento y mejorar nuestras herramientas y así adelantarse a posibles amenazas.
    • Obtención de evidencias de las intrusiones mediante análisis y escaneos, ya que nos aportarán datos muy valiosos para el futuro.
  • Concienciación
    • Concienciar y formar a los empleados para que apliquen todas las pautas anteriores  evitando riesgos en el futuro, ya que la ingeniería social es el vector de ataque más habitual.

Conclusiones

Como hemos visto, es necesario hacer un uso de las lecciones aprendidas, intentando mejorar, aplicando lo aprendido, para así anticiparnos todo lo posible a los nuevos ciberataques y, consecuentemente, correr menos riesgos.

Seguir unas buenas pautas, cumpliendo los requisitos, conlleva a conseguir una preparación ante estas amenazas e incidentes, además de una seguridad más robusta en las empresas, ya que son estas las que deben implementar las lecciones aprendidas fielmente, concienciando a sus empleados para que sepan, en todo momento, cuál es la estrategia a seguir.

Etiquetas