Blog

Hoy día es común encontrar SIEM desplegados en las infraestructuras TI de todo tipo de organizaciones, para así poder realizar una monitorización y análisis de alertas de seguridad de aplicaciones, sistemas, dispositivos de red, etc. Sin embargo, aunque en entornos industriales se está invirtiendo tiempo y recursos, todavía sigue siendo una asignatura pendiente.

Los honeypots, los requisitos recomendados para su correcta implementación, los diferentes tipos posibles y su evolución hasta nuestros días, donde se implementan formando una honeynet.

En el ámbito de los Sistemas de Control Industrial, la ciencia forense también resulta de utilidad, especialmente en lo que a análisis de dispositivos post incidente se refiere. Sin embargo, debido a la naturaleza única y poco común de las tecnologías que conviven dentro de estos entornos, estas labores suelen exigir un esfuerzo adicional.

Durante la última semana de marzo, los cines Kinépolis de Madrid dieron cabida una vez más a la nueva edición de uno de los congresos de seguridad informática más importantes del panorama nacional, la RootedCON, que ha vuelto con más fuerza que nunca para celebrar su ya décimo aniversario por todo lo alto. Una edición muy especial que ha traído, a sus más de 2.500 asistentes, 80 horas de puro contenido sobre seguridad, dividido en 3 tracks paralelos y de la mano de 40 ponentes procedentes de todas las partes del mundo.

La realización de cambios en el firmware de un dispositivo es cada vez más frecuente debido a la velocidad en el desarrollo de nuevas funcionalidades, implementación de nuevas medidas de seguridad o corrección de vulnerabilidades, pero ¿están nuestros procedimientos preparados para ello? Y, sobre todo, ¿sabemos qué instalamos?

Los amantes del motor tal vez recuerden el caso de espionaje de McLaren a Ferrari en un ya lejano 2007. En esa ocasión, el traspaso de información se hizo directamente a través de papel. Pero ya han pasado muchos años desde entonces y hoy en día, donde el uso del papel es residual, seguramente la información robada se compartiría a través de diferentes ficheros informáticos con diseños, fórmulas o datos estratégicos, por lo que se trataría de un ciberincidente por ciberespionaje.

Los avances en seguridad dentro de los sistemas de control han llevado gran parte de las herramientas y servicios de seguridad ofrecidos en TI a este entorno. Hasta ahora, la protección se basaba en medidas reactivas, actuar una vez que se tenía la evidencia del ataque, pero esa tendencia cambia con el despliegue de la monitorización y las acciones de defensa proactiva que ésta puede proporcionar.

Realizar un test de intrusión o un análisis de vulnerabilidad puede ser complejo en un sistema de control debido a la disponibilidad. Aquí entran en juego los testbed, que reproducen los entornos de producción y pueden ser de gran ayuda para investigadores y analistas de seguridad.

Tradicionalmente el malware crea ficheros, copias de sí mismo o malware adicional que dropea en diferentes ubicaciones del sistema que compromete, pudiendo hacerlo además con nombres similares a ficheros legítimos, con el fin de pasar desapercibido el mayor tiempo posible.