Brechas de seguridad en infraestructuras críticas.
Wired nos informaba hace unos meses que los piratas informáticos habían conseguido acceder a múltiples instalaciones de suministro eléctrico en EE.UU, generando brechas de seguridad en infraestructuras críticas. Posiblemente, los piratas informáticos podrían haber cortado la energía a miles de ciudadanos y empresas, como ya hicieron en 2015 en la red eléctrica de Ucrania dejando sin suministro a empresas y ciudadanos. En 2016, se notificó uno de los peores escenarios, los ciberdelincuentes atacaron y se hicieron con el control de los equipos industriales de una planta de servicios de agua en EE.UU.
La publicación de la directiva del Parlamento Europeo conocida como NIS 2, el pasado mes de noviembre de 2022, amplía el espectro de organizaciones de servicios esenciales y reconvierte su enfoque en materia de ciberseguridad como una infraestructura crítica.
Toda organización que gestiona una infraestructura crítica tiene un objetivo prioritario en materia de ciberseguridad: evitar un incidente de este tipo. Pero las técnicas ingeniosas y avanzadas por parte de los ciberdelincuentes hacen que encuentren ese espacio en blanco por el que acceder, siendo los ficheros el principal vector de ataque. Incluso en los entornos aislados y protegidos por DMZs, diodos y similares terminan comprometidos por el uso de USBs infectados.
Desde MICROMOUSE aportamos soluciones de seguridad para estos entornos tan sensibles. Y con esa experiencia repasamos las seis brechas más habituales en el proceso de transferencia de ficheros dentro de las instalaciones de una infraestructura crítica.
En una gran parte de este tipo de instalaciones se escanean los archivos que acceden a estas redes seguras con un único motor antimalware; excepcionalmente con dos.
Esto no es suficiente, incluso el motor antimalware más efectivo presenta un intervalo de seguridad lejano al 100%. Por ello utilizar soluciones de escaneado múltiple, especialmente en estos entornos, es una de las mejores opciones. Aprovechar la sinergia entre distintos fabricantes, en una única solución puede permitir alcanzar una cobertura frente amenazas de más del 99%.
Tanto la instalación de software nuevo, como las actualizaciones de los ya desplegados, es un momento crítico aunque necesario. Esta práctica también puede conllevar la introducción de nuevas vulnerabilidades. Detectar estas vulnerabilidades y su gravedad es clave para subsanarlas eliminando puntos débiles en la seguridad del sistema.
Content Disarm and Reconstruction (CDR) es nada menos que esencial en el entorno de amenazas moderno. Los atacantes utilizan habitualmente archivos comunes, como documentos de Word u hojas de cálculo de Excel, que contienen secuencias de comandos, macros u objetos incrustados malintencionados. Luego solo queda engañar al usuario para que abran los archivos, a menudo a través de ataques de phishing, consiguiendo que el código malicioso se ejecute.
Wired, citando el informe de un proveedor de seguridad, señaló que las principales violaciones de la red eléctrica de Estados Unidos «comenzaron con correos electrónicos [spear phishing] que engañaron a las víctimas para que abrieran un archivo adjunto malicioso». Muchos, si no la mayoría, de estos ataques se pueden prevenir con CDR.
Las amenazas internas son un foco importante de vulnerabilidad para muchas organizaciones, especialmente porque los administradores de TI y CISO a menudo pasan gran parte de su tiempo defendiendo los Sistemas contra las amenazas externas. Por esta razón, es extremadamente importante registrar cuándo ingresaron los archivos sospechosos a la red y quién facilitó su acceso.
Las organizaciones necesitan una forma automatizada de garantizar que los medios portátiles sean escaneados por los motores antimalware antes de que se conecten a los dispositivos dentro de la red interna.
Esto evita escenarios como que un empleado deje accidentalmente una memoria USB en su bolsillo, ingrese a la instalación segura y luego la conecte a su estación de trabajo sin escanearla, o una información privilegiada maliciosa que haga lo mismo a propósito.
Muchas cepas de malware esperan un tiempo determinado para activarse y escapar de la detección inicial. Tripwire señala que esta técnica es la tercera más común» para evadir la detección por parte del software antimalware.
Tal vez todos los archivos se analizan antes de que puedan entrar en la red. Pero si estos archivos se transfieren a la red y no se ponen en cuarentena, analizan o escanean nuevamente, es posible que el malware que utiliza esta técnica de evasión se transfiera a la red.
Conclusión
A medida que se perfeccionan los procesos de transferencia segura de archivos en este tipo de organizaciones, podemos aspirar a que las pesadillas descritas al inicio de este post vayan poco a poco dejando de ser algo común en las noticias.
En MICROMOUSE contamos con soluciones tecnológicas para una transferencia segura de archivos teniendo en cuenta estos desafíos. Soluciones de escaneado múltiple, escaneado continuo, CDR, detección de vulnerabilidades, etc.
Cuéntanos tu escenario y te plantearemos las tecnologías más adecuadas en cuanto a eficacia y ROI. ¿Hablamos de ciberseguridad?