En el año 2022 y tal como se ve reflejado en nuestro artículo de ‘Cifras en Seguridad Industrial 2022’, los ciberataques en todos los sectores industriales han aumentado alrededor de un 30% en el tercer trimestre del 2022, y se estima que el número de organizaciones o fabricantes industriales, víctimas de un ciberataque, rondó el 40% en el último año. Especialmente en el sector industrial, el número de ataques ha crecido exponencialmente debido a la introducción masiva de dispositivos IoT (se prevé pasar de los 13,5 a los 21,5 millones de dispositivos conectados en tres años) o más concretamente de los IIoT, los cuales han sido la principal puerta de entrada para los ataques debido a que los fabricantes han priorizado las funcionalidades y la producción masiva de dispositivos en reprimenda de la seguridad. Además, a esto, se une la obsolescencia programada (cada vez más presente en este tipo de dispositivos), el aumento de la interoperabilidad y de la conectividad y la aparición de nuevos tipos de malware y exploits, mucho más efectivos
En los últimos años, el concepto de machine learning ha cobrado cada vez más relevancia, principalmente impulsado por los avances en capacidad de computación de forma paralela. Cada vez son más los desarrollos, aplicaciones y programas que se sirven de estos algoritmos para dotar al sistema de una mayor seguridad, inteligencia y autonomía. Sin embargo, su uso en entornos industriales es todavía muy escaso, aunque algunas pruebas y desarrollos recientes demuestran su eficacia, incluyendo en el ámbito de la detección y predicción de ciberataques.
Las debilidades en la implementación del protocolo TCP en los middleboxes podrían suponer un medio para llevar a cabo ataques de denegación de servicio distribuidos reflejados (DrDoS) contra cualquier objetivo.
Desde INCIBE-CERT aglutinamos una serie de medidas y acciones que recomendamos adoptar y revisar para proteger la información de las organizaciones, y su aplicación en los dispositivos que utilizan, así como en su presencia digital en el ciberespacio. Estas medidas están orientadas a mejorar su nivel de protección ante incidentes de ciberseguridad, para poder minimizar su riesgo ante ciberataques que puedan afectar a la prestación de servicios de su negocio.
Hoy día es común encontrar SIEM desplegados en las infraestructuras TI de todo tipo de organizaciones, para así poder realizar una monitorización y análisis de alertas de seguridad de aplicaciones, sistemas, dispositivos de red, etc. Sin embargo, aunque en entornos industriales se está invirtiendo tiempo y recursos, todavía sigue siendo una asignatura pendiente.
Con ánimo de mejorar, año tras año, la seguridad de las empresas, es conveniente llevar a cabo acciones que nos ayuden a combatir los errores del pasado, para que estos no vuelvan a repetirse. Una buena manera de hacerlo es recopilando y teniendo en cuenta todas las lecciones aprendidas, ya que los incidentes pasados pueden ayudarnos a prevenir o combatir los ataques futuros.
La creación de equipos multidisciplinarios que coexistan dentro de un mismo centro de respuesta a incidentes no supone una novedad. En cambio, incorporar conocimientos frente a respuesta a incidentes en entornos industriales supone un gran reto para muchas empresas que ya proporcionan estos servicios orientados a TI. En este artículo se mostrarán algunas de las capacidades que necesitarán los equipos dentro de un centro de respuesta a incidentes para poder solventar algunos problemas que surjan en las redes industriales, y los retos que supone la respuesta a incidentes en entornos industriales.
La recolección y la gestión de logs en seguridad industrial siempre se han visto como acciones realizadas por sistemas dependientes del SCADA o se han relegado a las herramientas provistas por los fabricantes para ello. Además, estos logs, tradicionalmente, han estado centrados en aspectos operacionales de los sistemas, algo que por suerte está cambiando en los nuevos modelos de sistemas y dispositivos.
