Sistemas de supervisión y control de energía seguros: Cómo protegernos contra las amenazas de ciberseguridad

Hola chicos. Os traigo otro artículo que han hecho compañeros míos de Schneider Electric. Este de aquí, lo ha escrito Antonio Garballo, Solutions Architect y Software Offer Manager de EcoStruxure Power en Schneider Electric España. Trata sobre cómo protegernos contra las amenazas de la ciberseguridad. Espero que os guste y lo disfrutéis:


Cada día vemos titulares acerca de cómo los sistemas son hackeados y comprometidos, dejando a la gente con la inquietud acerca de la comunicación segura y de la ciberseguridad que tienen sus organizaciones. El hackeo de sistemas críticos de control de redes de energía está incrementando y volviéndose más común. Entre 2015 y 2016, el acceso de los hackers a la red informática encargada de controlar la distribución eléctrica en Israel y Ucrania, provocó el corte del suministro de ciertas partes de la red eléctrica durante un invierno muy frío (1). El atacante introducía la contraseña comprometida del operador y abría múltiples circuitos provocando que subestaciones al completo estuvieran fuera de servicio al instante.

Dado que el ataque a las infraestructuras energéticas está creciendo de una forma alarmante, provoca ser proactivo en la vigilancia de las intrusiones cibernéticas. Desafortunadamente, las soluciones simples de antivirus que la mayoría de sistemas utilizan, no son suficientes. Planear e implementar medidas de comunicación segura y ciberseguridad para un sistema de Supervisión, Control y Adquisición de Datos (SCADA) energéticos puede reducir significantemente la probabilidad de la vulnerabilidad del sistema. Enseñar a los usuarios a estar alerta de los ataques de ingeniería social es de suma importancia para asegurar un sistema. Muchos atacantes obtienen el acceso a los sistemas de destino utilizando ataques simples de ingeniería social en contra de víctimas desprevenidas.

Técnicas comunes de ataque

El primer paso para mejorar la seguridad es identificar las vulnerabilidades comunes del sistema y abordarlas. Las tres maneras que los atacantes utilizan para acceder a un sistema pueden agruparse en: personas, operaciones y tecnología. Cuando un ataque entra en la fase de ejecución, el atacante tiene que obtener acceso al sistema. El atacante puede emplear las técnicas de la ingeniería social (personas) o las técnicas tecnológicas (el hackeo tradicional de software o hardware). La primera fase de planificación determina si una conexión local o remota es posible. Los atacantes que atenten contra las conexiones remotas utilizarán herramientas ampliamente disponibles para este propósito. Estas herramientas explotan las vulnerabilidades conocidas para los servicios más comunes, sistemas operativos no actualizados, protocolos y puertos de comunicaciones, y puntos de entrada similares expuestos. Uno de los casos más sonados en 2017 de ciberataques que se han aprovechado de sistemas no actualizados y/o vulnerabilidades son de los ransomwares Wannacry y Petya (2). El acceso remoto también se puede conseguir utilizando las técnicas comunes de ingeniería social en contra de los usuarios autorizados del sistema. Como ejemplos podríamos tener en cuenta: ataques de suplantación de identidad a través del correo electrónico, mensajería o llamadas telefónicas, solicitando datos confidenciales, como, archivos maliciosos adjuntos en el correo o links de web hacia virus que proveen el acceso a las puertas clandestinas en los sistemas de destino.

Para sistemas aislados (sin conexión a internet), el hacker tendrá que obtener el acceso local. Esto puede significar visitar un sitio en persona y enchufarse físicamente a un puerto Ethernet de la red de operaciones. Por necesidades de hiperconectividad de los sistemas críticos están incorporando Wi-Fi a su infraestructura, y con ello exponiendo un posible punto de intrusión. Cuando están adecuadamente asegurados y configurados, Wi-Fi está razonablemente protegido de ataques, pese a que en 2017 se descubrió una vulnerabilidad crítica para la seguridad WPA2 (3). Es por ello que la configuración de redes Wi-Fi continúa siendo un problema importante. Las políticas acerca del acceso al Wi-Fi deberían incluir una red de invitados aislada del Sistema de Control Industrial (ICS). La red aislada protegerá la red ICS (que probablemente tendrá protocolos con tráfico de datos no cifrados) de posibles infecciones remotas facilitadas por proveedores de máquinas. Una política de contraseñas seguras para conexión a redes Wi-Fi es el primer punto a implementar.

Una técnica menos invasiva es enchufar un USB que contenga un virus malicioso con carga explosiva o de propagación. Simplemente dejando un USB en zona de aparcamiento del objetivo, un empleado no formado ni suspicaz probablemente lo insertará en su ordenador con la intención de devolvérselo a su propietario o por conocer el contenido. El USB key drop es un método de penetración muy popular y con éxito.

Una vez el atacante ha obtenido el acceso, el siguiente paso es asegurarse de que se mantiene disponible. Esto significa realizar diferentes cambios la configuración del ordenador infectado, como bloquear el software del antivirus y configurar una nueva cuenta administrativa. En este punto el atacante puede acceder al sistema de destino, pudiendo visualizar y estudiar el comportamiento del operario, así como actuar sobre el sistema de control y en consecuencia con los dispositivos de campo (abrir y cerrar interruptores, cambiar código, revocar acceso, etc).


El resto del artículo (es muy largo) os lo dejo para que lo miréis aquí: https://blogespanol.schneider-elect...ision-control-energia-seguros-ciberseguridad/
 
Arriba