Cuando se habla de un dispositivo endpoint, se habla de un activo final presente a nivel de red. Entre estos dispositivos podemos encontrar estaciones de ingeniería (workstations), HMI, SCADA o PLC, entre otros.
La evolución de los entornos industriales hacia modelos en los que estos equipos se conectan, tanto con las redes corporativas como remotamente con los proveedores, con fines de mantenimiento, los expone a nuevas amenazas. Es por ello que los endpoint industriales deben ser debida e individualmente protegidos y a múltiples niveles para que no puedan ser comprometidos. Estos sistemas finales son puntos clave en cuanto a la seguridad se refiere porque sus vulnerabilidades podrían afectar a otros activos dentro de la red.
La programación de los PLC es una parte fundamental en las fases iniciales cuando se construyen y diseñan las plantas industriales. Sobre dicho entorno, la compañía basará la totalidad de sus operaciones, con lo cual la configuración de estos controladores es un aspecto crítico. A la hora de programar estos dispositivos, existe una serie de pautas y buenas prácticas que aprovechan funcionalidades disponibles de forma nativa y que implican poco o ningún recurso a mayores de los que posee un programador de PLC, protegiendo al dispositivo de una forma sencilla y con un mínimo gasto de recursos.
Nobelium es la denominación de Microsoft para un grupo de atacantes que, según la atribución llevada a cabo por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, pertenecen al Servicio de Inteligencia Exterior (SRV) de Rusia. Este grupo criminal es conocido por el ataque a la cadena de suministro de SolarWinds, y una campaña masiva de phishing haciéndose pasar por una empresa de desarrollo estadounidense.
En este post se presentan algunas líneas de actuación que deben seguirse para hacer frente a un ciberataque DrDoS basado en el protocolo ARD, describiendo detalladamente las fases de prevención, identificación y respuesta a adoptar.
En los últimos años, el concepto de machine learning ha cobrado cada vez más relevancia, principalmente impulsado por los avances en capacidad de computación de forma paralela. Cada vez son más los desarrollos, aplicaciones y programas que se sirven de estos algoritmos para dotar al sistema de una mayor seguridad, inteligencia y autonomía. Sin embargo, su uso en entornos industriales es todavía muy escaso, aunque algunas pruebas y desarrollos recientes demuestran su eficacia, incluyendo en el ámbito de la detección y predicción de ciberataques.
Las debilidades en la implementación del protocolo TCP en los middleboxes podrían suponer un medio para llevar a cabo ataques de denegación de servicio distribuidos reflejados (DrDoS) contra cualquier objetivo.
Con el objetivo de aumentar el conocimiento en materia de ciberseguridad, desde INCIBE-CERT publicamos una serie de seminarios web (webinars) en formato video, para que de una manera ligera y amena, se puedan ampliar los conocimientos y aspectos técnicos de ciberseguridad en varias materias que pueden ser de interés, tanto para el público técnico de INCIBE-CERT, como para cualquier interesado en ciberseguridad.
Hoy día es común encontrar SIEM desplegados en las infraestructuras TI de todo tipo de organizaciones, para así poder realizar una monitorización y análisis de alertas de seguridad de aplicaciones, sistemas, dispositivos de red, etc. Sin embargo, aunque en entornos industriales se está invirtiendo tiempo y recursos, todavía sigue siendo una asignatura pendiente.
Con ánimo de mejorar, año tras año, la seguridad de las empresas, es conveniente llevar a cabo acciones que nos ayuden a combatir los errores del pasado, para que estos no vuelvan a repetirse. Una buena manera de hacerlo es recopilando y teniendo en cuenta todas las lecciones aprendidas, ya que los incidentes pasados pueden ayudarnos a prevenir o combatir los ataques futuros.