Aunque el informe está dirigido a organizaciones estadounidenses, la situación y problemática de fondo es aplicable a la mayoría de los países. En un alerta distribuída vía CERT, la NSA escribe que las organizaciones deben desarrollar planes de resiliencia que den por hecho “un sistema de control que esté actuando activamente en contra de la operación segura y confiable del proceso”. En otras palabras, las organizaciones deben asumir que sus sistemas de control serán vulnerados y se volverán contra ellas.
La agencia recomienda una amplia gama de “medidas inmediatas” para asegurar la resistencia de la infraestructura “en caso de que surja un momento de crisis a corto plazo”. Estas medidas incluyen lo que denomina una “copia dorada” de firmware crucial, software, lógica de escalera, contratos de servicio, licencias de productos, claves de productos e información de configuración se mantenga en un entorno cerrado y a prueba de manipulaciones como una caja fuerte.
Las vulnerabilidades están empeorando a medida que las empresas “aumentan las operaciones y el trabajo a distancia, acomodando una fuerza laboral descentralizada y ampliando la subcontratación de áreas de especialización clave como la instrumentación y el control, la gestión/mantenimiento de activos de OT y, en algunos casos, las operaciones y el mantenimiento de procesos”, escribe la NSA.
La entidad responsabilizó a la proliferación de activos de OT en red, a la información de código abierto fácilmente disponible sobre los dispositivos y a los potentes ataques desplegados a través de marcos de explotación comunes como Metasploit, Core Impact y Immunity Canvas de “facilitar la vida de los atacantes”. El documento agrega que los defensores también pueden -y deben- utilizar herramientas de acceso público como Shodan, para descubrir sus dispositivos de OT accesibles a través de Internet.
Las organizaciones necesitan un plan de resistencia de OT que les permita:
– Desconectar inmediatamente de Internet los sistemas que no necesitan conexión a Internet para que sus operaciones sean seguras y fiables.
– Planificar la continuación de las operaciones de proceso manual en caso de que el ICS no esté disponible o deba ser desactivado debido a una apropiación hostil.
– Eliminar la funcionalidad adicional que podría inducir a riesgo y reducir la superficie de ataque.
– Identificar las dependencias del sistema y de las operaciones.
– Restaurar los dispositivos y servicios de OT de manera oportuna. Asignar funciones y responsabilidades para la restauración de la red y los dispositivos de OT.
– Respaldar los recursos de la “copia dorada”, citada anteriormente, como el firmware, el software, la lógica de escalera, los contratos de servicio, las licencias de productos, las claves de productos y la información de configuración.
– Verificar que todos los recursos de la “copia dorada” se almacenen fuera de la red y guardar al menos una copia en un entorno cerrado a prueba de manipulaciones (por ejemplo, una caja fuerte con llave).
– Pruebe y valide las copias de seguridad y los procesos de datos en caso de pérdida de datos debido a una actividad cibernética maliciosa.
Las organizaciones con pocos recursos pueden recurrir a herramientas de acceso público, como Wireshark, NetworkMiner y el GRASSMARLIN de la propia NSA para ayudar a documentar y validar un mapa preciso de la red de OT “en funcionamiento”, señaló la NSA, mencionando de paso las mejores prácticas como la segmentación de la red, las VPN aseguradas con autenticación multifactor, las arquitecturas de red seguras que utilizan zonas desmilitarizadas, los cortafuegos, los servidores de salto y/o los diodos de comunicación unidireccionales, y la aplicación de parches con regularidad.
“En los últimos meses, los ciberdelincuentes han demostrado su continua disposición a realizar actividades cibernéticas maliciosas contra infraestructuras críticas, explotando los activos de OT accesibles por Internet”, señala el alerta de la NSA, donde cita además informes de prensa sobre un ataque contra instalaciones hidrológicas israelíes. “Debido al aumento de la capacidad y la actividad del adversario, la importancia crítica para la seguridad nacional de los Estados Unidos, y la vulnerabilidad de los sistemas de OT, la infraestructura civil se convierte en un blanco atractivo para las potencias extranjeras que intentan hacer daño a los intereses de los Estados Unidos o tomar represalias por una aparente agresión de los Estados Unidos”.
La guía completa del NSA/CERT está disponible en este enlace. No requiere registro.
Ilustración por Nathan Dumlao via Unsplash
