1 27 Table of Contents 29 116

Seguritecnia 467

28 SEGURITECNIA Septiembre 2019 Smart Security E l pasado 19 de marzo, Reuters hacía público un ciberataque contra Norsk Hydro, uno de los mayores productores de aluminio del mundo. La compañía noruega se vio obligada a cerrar varias plantas de extrusión de metales y productos lami- nados, y al mismo tiempo operar ma- nualmente sus gigantescas fundicio- nes. El culpable de todo esto fue Loc- kerGoga, un ransomware que ya había atacado con anterioridad a la francesa Altran y a las químicas estadouniden- ses MPM Holdings y Hexion. A diferencia de otros ataques recien- tes, como Industruyer/Crashoverride o Triton, LockerGoga no está dirigido es- pecíficamente para sistemas industria- les (es un malware orientado a platafor- mas Windows, por lo que podría afec- tar a múltiples sectores), pero su efecto sobre equipos y redes de control y au- tomatización y control (SSACI) supone un significativo impacto enorme para la producción. El hecho de que un in- menso porcentaje de los ataques se re- gistraran en el sector industrial no es algo casual, ya que, para las empresas que operan en este sector, cualquier in- terrupción o anomalía que afecte a la producción supone pérdidas enormes. Obviamente, un gran incentivo para el pago de un rescate. Recomendaciones Los escenarios de malware que puede afectar a los sistemas industriales son muy variados. De hecho, hemos visto ya nuevos escenarios combinados, como en el caso del grupo Sandworm Team, que combina técnicas manua- les y malware a medida. Ante este es- cenario cambiante y cada vez más pe- ligroso, las organizaciones industriales requieren incrementar sus medidas de ciberseguridad a nivel global, con es- trategias de defensa en profundidad y abarcando todas las funciones (por ejemplo, como las define el NIST) . Una vez conseguido todo esto, existen al- gunas recomendaciones que cabe de- tallar: A nivel de identificación , es reco- mendable realizar evaluaciones de seguridad a nivel técnico, de go- bernanza y de cumplimiento, in- cluyendo los procedimientos y me- todologías de trabajo. Se han de evaluar los procedimientos de pres- tación de servicios, mantenimiento de sistemas, acceso a los disposi- tivos, inventariado, etcétera, para identificar las vulnerabilidades y po- tenciales amenazas. En el ámbito de la detección , es conveniente el despliegue de solu- ciones de detección de anomalías en el comportamiento de los siste- mas informáticos de automatización y control, la monitorización conti- nua y su integración en un Centro de Operaciones de Ciberseguridad para su investigación. Igualmente, es fun- damental estar al tanto de las últi- mas alertas de ciberseguridad sobre incidentes y vulnerabilidades que afecten a los sistemas de automati- zación y control. Desde la perspectiva de la pro- tección , será necesario implantar de medidas de control de accesos, tanto físicos como lógicos, que de- ben aplicar por extensión a emplea- dos y empresas de mantenimiento y a subcontratas. Y, por supuesto, la seguridad física habrá de aplicarse también con la idea de soportar la ciberseguridad. La implementación de soluciones de control de acceso remoto y el despliegue de redes pri- vadas virtuales son otros elementos a tener en cuenta, y, por supuesto, habrá de contemplarse la segmen- tación y segregación de la red, so- luciones antimalware basadas en lis- tas, cifrado en almacenamiento y en tránsito, autenticación criptográfica en los mensajes, etc. Y, por supuesto, hay que tener en cuenta que la for- mación y concienciación del perso- nal son esenciales. Las fases de respuesta y recupera- ción ante incidentes son cada vez más críticas. Desde la perspectiva de la respuesta, es importante dispo- ner de personal capacitado y cualifi- cado que haya diseñado y sepa po- ner en marcha estrategias de miti- gación y contención, así como de realizar forenses en el ámbito indus- trial. En el caso de la recuperación, se recomienda que esté soportada por medidas basadas en la alta disponi- bilidad, redundancia y las copias de seguridad (incluidas las estrategias de control), de manera que sea po- sible restaurar la operativa en muy poco tiempo tras un incidente. Norsk Hydro, por ejemplo, ha seguido una estrategia de recuperación basada en restaurar los equipos afectados desde los servidores de respaldo, lo que indica la importancia de estas medidas. En definitiva, nos encontramos ante una tipología de ciberataques cada vez más frecuente. Tener en cuenta todos los elementos comentados puede ayu- dar, sin duda, a mantener a raya la acti- vidad cibercriminal y que la producción industrial no se vea afectada. S Elyoenai Egozcue Responsable de Ciberseguridad para Sistemas de Control Industrial en S21sec Ataques contra infraestructuras industriales: cuatro aspectos esenciales a tener en cuenta

RkJQdWJsaXNoZXIy MzA3NDY=