Hoy en día existe un incremento de amenazas a los sistemas de control y automatización industrial, lo cual afecta la seguridad o vulnerabilidad de los equipos y sistemas, por lo que los desarrolladores de aplicaciones de control y automatización cuando los descubren, rápidamente aplican una actualización o parche para resolverlo.
Ahora bien, existen amenazas que explotan vulnerabilidades no identificadas por los fabricantes. Hablamos de los ataques y vulnerabilidades de día cero o Zero day
¿Qué es una vulnerabilidad “Zero Day”?
Es cuando el ciberdelincuente descubre alguna vulnerabilidad, antes que el desarrollador y se aprovecha de ella sin que éstos ni los usuarios sean conscientes del riesgo a que se enfrentan, y por tanto, sin disponer de actualizaciones o parches que lo solucionen. Esto es lo que se conoce como una vulnerabilidad de día cero o Zero Day.
Existe otro termino denominado ataques de día cero o Zero day attack, en la que la principal amenaza reside en que, hasta que se lanza dicho parche correctivo y se instala en los equipos, sistemas y aplicaciones, los atacantes tienen vía libre para explotar la vulnerabilidad y aprovecharse del fallo de seguridad.
El método utilizado por los atacantes para comprometer un sistema con una vulnerabilidad no identificada anteriormente se denomina exploit de día cero o Zero day exploit, se debe tener en cuenta que desde que el atacante descubre la vulnerabilidad, hasta que el fabricante o desarrollador identifique una actualización o parche para resolverla, el ciberdelincuente ha tenido tiempo para comprometer la seguridad del sistema, instalando malware, robar información, modificar el comportamiento de la aplicación e incluso configurar un acceso remoto a los sistemas de control del proceso productivo.
Puede ser que los ciberdelincuentes actúen por cuenta propia o pueden ser contratados por organizaciones empresariales para interferir en los procesos de producción e incluso grupos políticos o países para obtener información y atacar las infraestructuras críticas de un país.
La detección de la vulnerabilidad no se descubre de inmediato, y pueden pasar días, semanas e incluso años hasta que se descubren las consecuencias de los ciberataques. Pero una vez que la empresa se entera de que un hacker ha puesto en peligro su sistema, es importante averiguar dónde está la vulnerabilidad, lo que podría llevar un tiempo localizar y parchear el agujero de seguridad.
Un ejemplo de ataque o exploit de día cero en el entorno industrial fue Stuxnet, descubierto en el 2010. Este gusano informático malicioso afectó, gracias a las vulnerabilidades del software de los controladores lógicos programables (PLCs) Siemens Step7, a las aplicaciones que se ejecutaban en dichos controladores, provocando la ejecución de comandos aleatorios y afectando a los equipos industriales en los procesos de enriquecimiento de uranio de las plantas industriales de Irán. El objetivo era interrumpir el programa nuclear del país.
¿Cómo puedo identificar un ataque de “Zero day”?
Los ataques “Zero Day” pueden funcionar de forma diferente, por lo que no es fácil detectarlos, sin embargo hay maneras comunes de que las organizaciones identifiquen los ataques. Algunas de ellas son:
- Escaneo de Vulnerabilidades: En este proceso se exploran las vulnerabilidades en los sistemas y una vez encontradas, se debe trabajar enseguida su parcheo, antes de que los atacantes puedan explotarlas, con los parches de seguridad que se han identificado y validado por los proveedores para su instalación. Es recomendable realizar escaneo de vulnerabilidades utilizando métodos específicos y adaptados de los propiamente diseñados para las IT, con el objeto de que su aplicación en entornos OT, no sean perjudiciales ni afecten al comportamiento de los sistemas industriales de control y automatización, por lo que se recomienda se utilicen en entornos de pruebas o pre-producción
- Gestión de accesos de los usuarios a los sistemas y aplicaciones: Los usuarios pueden ser los primeros en detectar problemas, ya que son quienes interactúan con los sistemas y potenciales. Un seguimiento de informes de las acciones de los usuarios en los logs de los sistemas, con el objetivo de detectar intentos de acceso no permitidos, acciones no autorizadas o modificaciones en el sistemas son buenas prácticas.
- Supervisión del comportamiento de la red: Cuando un atacante accede a un sistema a través de un malware, se incrementa el tráfico de red, y puede ralentizar a veces los tiempos de conexión a los sistemas. Por eso, si se vigila la velocidad de la red, se podrá identificar un ataque en el momento en que se produzca. Una monitorización en tiempo real del tráfico de red, acompañado de un aprendizaje automático del uso de la misma para detectar datos de exploits registrados previamente con el fin de fijar una base para un comportamiento seguro del sistema a partir de los datos de interacciones actuales y anteriores, es una herramienta que puede ayudar en la identificación proactiva y detección de un posible ataque.
- Vigilar el rendimiento de las aplicaciones: Para reducir la superficie de exposición y reducir el riesgo en la red y en los activos, utilizar solo aquellas aplicaciones esenciales y necesarias. A pesar de ello, cuando alguien consigue acceder a tu sistema a través de una vulnerabilidad de alguna de las aplicaciones instaladas, el código que inyecta en tu software podría ralentizar tu programa, alterar sus funciones o desconectar características, por lo que se puede identificar un ataque “Zero day” si observamos cambios significativos o inexplicables en tu sistema.
- Estar atento a los ciberataques que se reportan: Buscar informes de ciberataques significativos y comprobar si tu organización puede verse afectada, analiza las noticias a diario a la que tienes acceso, para comprobar si hay nuevos ataques a organizaciones de tu sector. Aunque los ataques y vulnerabilidades de “Zero day” son nuevos y desconocidos, por lo que la información a la que puedas acceder sobre ellos es limitada, lee los detalles de los ataques recientes y verifica que tus sistemas y aplicaciones si podrían resistirlo.
¿Cómo protegerme de un ataque de “Zero day”?
Existen acciones de mitigación ya conocidas como: mantener siempre actualizado el software para reducir las vulnerabilidades, utilizar un software antivirus fiable que detecte y bloquee amenazas, controlar el acceso a los dispositivos y disponer de una segmentación segura de las redes, no podemos olvidar al personal, ya que muchos ataques de “Zero day” se aprovechan de los errores humanos. El hecho de inculcar buenas prácticas de seguridad a los empleados y a los usuarios los mantendrá a salvo en la red y protegerá a las organizaciones frente a los exploits de día cero y otras amenazas digitales.
Por ello es importante llevar a cabo una capacitación y concienciación de los riesgos cibernéticos en el entorno industrial a los empleados, eso ayudara a que ellos sean el primer cortafuegos ante la existencia de un ataque.
También es un hecho que a pesar de las medidas que implantemos, siempre existe el riesgo de que ocurra un incidente de ciberseguridad. Por ello, debemos preparar un plan de acción de respuesta de incidentes, que nos indique cómo actuar de la manera más eficaz posible en estos casos.
El plan de respuesta a incidentes es un conjunto de instrucciones para ayudar a las personas de la organización a detectar, responder y recuperarse de incidentes de ciberseguridad que afecten a los activos y redes industriales.
Debe contar con una preparación, que documente las políticas de la organización de cómo actuar ante incidentes cibernéticos; una monitorización de eventos de seguridad para detectar, alertar e informar sobre posibles incidentes, así como una estrategia de contención y neutralización del ataque en caso de que se produzca.
Ya que los ataques de “Zero day” son tan impredecibles, no hay manera de lograr una protección total. Poner en práctica acciones como las descritas , ayudarán a identificar potenciales amenazas, reducir riesgos y estar preparados por si se produce el incidente
El análisis de las amenazas de «Zero day» y acciones para evitarlas, deben considerarse en la implementación de un sistema de gestión de ciberseguridad industrial (SGCI) en las organizaciones. Contar con la formación específica será clave para ejecutar dicha acción con éxito.
Fuente: Cci-es.