La convergencia de TI y OT
Sesión informativa digital: La convergencia de TI y OT
Los delincuentes atacan dispositivos conectados a Internet para acceder a redes de infraestructuras críticas confidenciales.
En el último año, Microsoft ha observado amenazas que vulneran la seguridad de dispositivos en casi todas las partes supervisadas y visibles de una organización. Hemos observado estas amenazas en equipos de TI tradicionales, controladores de OT y dispositivos IoT como routers y cámaras. El aumento de la presencia de atacantes en estos entornos y redes se ve impulsado por la convergencia e interconectividad que muchas organizaciones han adoptado en los últimos años.
International Data Corporation (IDC) calcula que en 2025 habrá 41 600 millones de dispositivos IoT conectados, una tasa de crecimiento superior a la de los equipos de TI tradicionales. Aunque la seguridad de los equipos de TI se ha reforzado en los últimos años, la seguridad de los dispositivos IoT y OT no ha seguido el mismo ritmo, y los actores de amenazas están aprovechando estos dispositivos.
Es importante recordar que los atacantes pueden tener diversos motivos para comprometer dispositivos distintos de los típicos ordenadores portátiles y teléfonos inteligentes. Los ciberataques de Rusia contra Ucrania, así como otras actividades ciberdelictivas patrocinadas por Estados nación, demuestran que algunos Estados nación ven los ciberataques contra infraestructuras críticas como convenientes para lograr objetivos militares y económicos.
El setenta y dos por ciento de las vulnerabilidades de seguridad de software que utiliza "Incontroller", lo que la Cybersecurity and Infrastructure Security Agency (CISA) describe como un novedoso conjunto de herramientas de ciberataque orientadas a sistemas de control industrial (ICS) y patrocinadas por el Estado, ya están disponibles en línea. Dicha proliferación fomenta una mayor actividad de ataque por parte de otros actores, a medida que disminuyen los conocimientos y otras barreras de entrada.
A medida que la economía de la ciberdelincuencia se expande y el software malicioso dirigido a los sistemas OT se hace más frecuente y fácil de usar, los actores de las amenazas tienen formas más variadas de montar ataques a gran escala. Los ataques de ransomware, que antes se percibían como un vector de ataque centrado en TI, están afectando actualmente a los entornos de OT, como se vio en el ataque a Colonial Pipeline, donde los sistemas de OT y las operaciones de canalización se cerraron temporalmente mientras el personal de respuesta a incidentes trabajaba para identificar y contener la propagación del ransomware en la red de TI de la empresa. Los delincuentes son conscientes de que el impacto financiero y la capacidad de extorsión que supone el cierre de las infraestructuras energéticas y otras infraestructuras críticas es mucho mayor que en otros sectores.
Los sistemas de OT incluyen casi todo lo que soportan las operaciones físicas, abarcando docenas de industrias verticales. Los sistemas de OT no se limitan únicamente a los procesos industriales, sino que pueden ser cualquier equipo informático o de propósito especial, como controladores HVAC, ascensores y semáforos. Varios sistemas de seguridad entran en la categoría de sistemas de OT.
Microsoft ha observado que los actores de amenazas vinculados a China se dirigen a routers domésticos y de pequeñas oficinas vulnerables con el fin de comprometer estos dispositivos como base de operaciones, dándoles un nuevo espacio de direcciones menos asociado con sus campañas anteriores, desde el que lanzar nuevos ataques.
Aunque la prevalencia de las vulnerabilidades de IoT y OT supone un reto para todas las organizaciones, las infraestructuras críticas corren un mayor riesgo. Deshabilitar los servicios críticos, sin necesidad de destruirlos, es una poderosa herramienta.
Recomendaciones:
- Trabajar con las partes interesadas: Asignar recursos críticos para la empresa, en entornos de TI y OT.
- Visibilidad del dispositivo: Identifica qué dispositivos IoT y OT son recursos críticos por sí mismos y cuáles están asociados a otros recursos críticos.
- Realizar un análisis de riesgos de los recursos críticos: Centrarse en el impacto empresarial de diferentes escenarios de ataque como sugiere MITRE.
- Definir una estrategia: Aborda los riesgos identificados, dando prioridad al impacto en la empresa.
IoT introduce nuevas oportunidades de negocio, pero también grandes riesgos
A medida que TI y OT convergen para dar soporte a las crecientes necesidades empresariales, la evaluación del riesgo y el establecimiento de una relación más segura entre TI y OT requieren tener en cuenta varias medidas de control. Los dispositivos aislados y la seguridad perimetral ya no bastan para abordar las amenazas modernas, como el malware sofisticado, los ataques selectivos y los intrusos malintencionados, ni para defenderse de ellas. El crecimiento de las amenazas de malware de IoT, por ejemplo, refleja la expansión de este panorama y su potencial para superar a los sistemas vulnerables. Al analizar los datos de amenazas de 2022 en diferentes países, los investigadores de Microsoft descubrieron que la mayor parte del malware de IoT, el 38 % del total, se originaba en la gran superficie de red de China. Los servidores infectados en Estados Unidos sitúan a este país en segundo lugar, con el 18 % de la distribución de malware observada.
Los atacantes avanzados están aprovechando múltiples tácticas y enfoques en entornos de OT. Muchos de estos enfoques son comunes en los entornos de TI, pero son más eficaces en los entornos de OT, como la detección de sistemas expuestos que se conectan a Internet, el abuso de las credenciales de inicio de sesión de los empleados o el aprovechamiento del acceso a las redes concedido a proveedores y contratistas externos.
La convergencia entre los ordenadores portátiles, las aplicaciones web y las áreas de trabajo híbridas del mundo de TI y los sistemas de control de fábricas e instalaciones del mundo de OT conlleva graves consecuencias de riesgo al permitir a los atacantes la oportunidad de "saltar" los espacios de aire entre sistemas anteriormente aislados físicamente. De este modo, los dispositivos de IoT, como las cámaras y las salas de conferencias inteligentes, se convierten en catalizadores del riesgo al crear nuevas vías de entrada a las áreas de trabajo y otros sistemas de TI.
En 2022, Microsoft ayudó a una importante empresa mundial de alimentación y bebidas, que utilizaba sistemas operativos muy antiguos para administrar las operaciones de la fábrica, con un incidente de malware. Mientras realizaba tareas rutinarias de mantenimiento en equipos que posteriormente se conectarían a Internet, el malware se propagó a los sistemas de la fábrica a través de un ordenador portátil comprometido de un trabajador externo.
Lamentablemente, esto se está convirtiendo en un escenario bastante común. Aunque un entorno de ICS puede estar aislado de Internet, en el momento en que un portátil en peligro se conecta a un dispositivo o red de OT anteriormente seguros, se vuelve vulnerable. En las redes de clientes que supervisa Microsoft, el 29 % de los sistemas operativos Windows tienen versiones que ya no son compatibles. Hemos visto versiones como Windows XP y Windows 2000 funcionando en entornos vulnerables.
Dado que los sistemas operativos más antiguos a menudo no reciben las actualizaciones necesarias para mantener las redes seguras, y que la aplicación de revisiones es un reto en las grandes empresas o instalaciones de fabricación, dar prioridad a la visibilidad de los dispositivos de TI, OT e IoT es un primer paso importante para administrar las vulnerabilidades y proteger estos entornos.
Una defensa basada en la Confianza Cero, la aplicación efectiva de directivas y la supervisión continua pueden ayudar a limitar el radio de impacto y prevenir o contener incidentes como este en entornos conectados a la nube.
La investigación de equipos de OT requiere conocimientos específicos únicos y comprender el estado de seguridad de los controladores industriales es crucial. Microsoft ha lanzado una herramienta forense de código abierto para la comunidad defensora, para ayudar a los responsables de la respuesta a incidentes y a los especialistas en seguridad a comprender mejor sus entornos e investigar posibles incidentes.
Aunque la mayoría piensa en las infraestructuras críticas como carreteras y puentes, transportes públicos, aeropuertos y redes de agua y electricidad, CISA recomendó recientemente que el espacio y la bioeconomía se convirtieran en nuevos sectores de infraestructuras críticas. Aludiendo al potencial de interrupción en diversos sectores de la economía estadounidense para causar efectos debilitantes en la sociedad. Dada la dependencia mundial de las capacidades habilitadas por satélite, las ciberamenazas en estos sectores podrían tener implicaciones globales mucho más allá de lo que hemos visto hasta ahora.
Recomendaciones
- Implementar directivas nuevas y mejoradas: Las directivas derivadas de la metodología y los procedimientos recomendados de Confianza cero proporcionan un enfoque holístico para permitir una seguridad y gobernanza sin fisuras en todos tus dispositivos.
- Adoptar una solución de seguridad completa y específica: Permite la visibilidad, la supervisión continua, la evaluación de la superficie de ataque, la detección de amenazas y la respuesta.
- Educar y formar: Los equipos de seguridad necesitan formación específica sobre las amenazas originadas en los sistemas IoT/OT o dirigidas contra ellos.
- Examinar la forma de aumentar las operaciones de seguridad existentes: Aborda los problemas de seguridad de IoT y OT para lograr un SOC de TI y OT/IoT unificado en todos los entornos.
Obtén más información sobre cómo ayudar a proteger tu organización con la información de David Atch, director de investigación de seguridad de IoT/OT de Inteligencia contra amenazas Microsoft.
Microsoft identificó vulnerabilidades de alta gravedad no corregidas en el 75 % de los controladores industriales más comunes en las redes de OT de los clientes.1
- [1]
Metodología: Para los datos de la instantánea, las plataformas de Microsoft, incluidas Microsoft Defender para IoT, el Centro de Inteligencia contra amenazas Microsoft e Inteligencia contra amenazas de Microsoft Defender proporcionaron datos anonimizados de dispositivos vulnerables, como los estados de configuración y las versiones, y datos sobre la actividad de las amenazas en los componentes y dispositivos. Asimismo, los investigadores han utilizado datos de fuentes públicas como la Base de datos de vulnerabilidad nacional (NVD) y la Agencia de seguridad de infraestructura y ciberseguridad (CISA). Las estadísticas sobre "vulnerabilidades de alta gravedad no corregidas en el 75 % de los controladores industriales más comunes en redes de OT del cliente" se basan en involucraciones de Microsoft en 2022. Los sistemas de control de entornos cruciales incluyen dispositivos electrónicos o mecánicos que utilizan bucles de control para una mejora en la producción, la eficiencia y la seguridad.
Seguir a Seguridad de Microsoft