La distinción entre proteger la tecnología de la información (TI) y proteger la tecnología operativa (OT) quedó muy clara en 2010, cuando la instalación de enriquecimiento nuclear iraní Natanz fue atacado por Stuxnet programa malicioso
OT incluye controladores lógicos programables (PLC), dispositivos electrónicos inteligentes (IED), interfaces hombre-máquina (HMI) y unidades terminales remotas (RTU) que permiten a los humanos operar y ejecutar una instalación industrial utilizando sistemas informáticos. Estos sistemas están conectados a sensores y actuadores dentro del sitio, que puede ser una planta de energía o una planta de fabricación. Esta colección de dispositivos de control de procesos a menudo se denomina sistemas de control industrial (ICS).
Estos sistemas no solo brindan información a los operadores e ingenieros, sino que también les permiten actuar sobre lo que ven en la pantalla. Para cambiar la velocidad de una turbina en una presa o una planta de energía, el operador modifica la configuración requerida en una estación de trabajo. De esta manera, cuando el operador ve señales de advertencia que indican que una turbina está funcionando demasiado rápido, puede reducir la velocidad de la turbina.
Una gran diferencia entre OT y TI es que las tecnologías operativas se han diseñado tradicionalmente teniendo en cuenta la seguridad y la disponibilidad, pero con relativamente poca preocupación por la seguridad cibernética. Por el contrario, desde hace décadas, la mayoría de las tecnologías de la información se han diseñado con el objetivo específico de contrarrestar las amenazas de seguridad cibernética. El mundo ahora se está dando cuenta del hecho de que OT también debe diseñarse teniendo en cuenta la seguridad cibernética.
Stuxnet era un malware muy sofisticado, el primero de su calibre en atacar un ICS. Infectó estaciones de trabajo de ingeniería en la instalación nuclear de Natanz, estaciones de trabajo que estaban conectadas a PLC que controlan centrífugas nucleares. A través de este ataque, los actores de amenazas pudieron manipular la velocidad (rotaciones por minuto) de sus motores de rotor.
“Stuxnet no se atribuyó decisivamente a un actor de amenazas específico, sin embargo, los expertos de la industria han sugerido que lo más probable es que haya sido el trabajo de actores patrocinados por el estado de los gobiernos occidentales con interés en hacer tropezar la infraestructura nuclear de Irán”, dice. Mohammad Al Kayeddirector de ciberdefensa de Ciberseguridad de Black Mountain.
Aunque ninguno de los países ha admitido su responsabilidad, se cree ampliamente que EE. UU. e Israel crearon el malware en un esfuerzo de colaboración. Esos dos países tenían la experiencia para desarrollar un gusano tan sofisticado y ciertamente tenían un motivo para atacar la infraestructura nuclear de Irán.
Uno de los desafíos para llegar a estos controladores es que las instalaciones industriales a menudo son “con espacio de aire”, lo que significa que no hay conectividad entre la red dentro de la propia instalación y las redes fuera. Debido a que no está conectado, no existe una forma factible de atacar la infraestructura directamente. Sin embargo, algunos de los gobiernos más inteligentes del mundo han encontrado formas de superar esta contramedida.
Al Kayed dice: “Stuxnet, en ese momento, era único en la forma en que fue diseñado para operar de manera independiente sin necesidad de conectividad a una infraestructura de comando y control (C2). También apuntó específicamente a los PLC Siemens Simatic S7-417, un cierto tipo de controlador utilizado en la instalación nuclear que fue atacada en Irán. Stuxnet no afecta a ningún otro sistema.
“No estamos seguros de cómo llegó el malware a los controladores de la planta nuclear iraní. Un escenario plausible podría ser que el malware fuera transferido a esta instalación por empleados o contratistas que utilizan dispositivos USB o computadoras portátiles. Esto podría haberse logrado atacando primero la computadora portátil de alguien en casa e infectándola con malware. Luego, cuando esa persona lleva su computadora portátil de regreso al trabajo y la conecta a la red con espacio de aire, básicamente ha cerrado esa brecha y le ha dado al malware una forma de ingresar a la red industrial, donde puede comenzar a manipular los controladores industriales”.
Irán aprendió del ataque
Al Kayed agrega: “El ataque de Stuxnet abrió los ojos del mundo al hecho de que ahora se pueden desarrollar armas cibernéticas que pueden destruir objetivos de la vida real. Puede ingresar a toda la infraestructura de un país y cortar la electricidad, por ejemplo. Por cierto, esto es exactamente lo que Rusia le hizo a Ucrania: dos veces.
“Irán aprendió del ataque que los sistemas de control industrial en realidad pueden atacarse utilizando el conjunto de herramientas adecuado. Además, se dio cuenta de cuán efectivos pueden ser esos ataques. En algún momento entre 2012 y 2018, comenzamos a ver ataques cibernéticos atribuidos a actores iraníes dirigidos a instalaciones industriales de otros países en la región, incluida Arabia Saudita.
“Un ejemplo fue un malware llamado Shamoon. Hemos visto tres oleadas diferentes de ese malware en instalaciones industriales en Arabia Saudita. La primera versión golpeó a Saudi Aramco y algunas otras compañías. Otras dos versiones salieron un par de años más o menos después de eso. Todos ellos tenían como objetivo la industria del petróleo y el gas y las empresas petroquímicas dentro de Arabia Saudita.
“Saudí fue un objetivo para ese tipo de ataques porque tiene muchas instalaciones de fabricación y operaciones de producción de petróleo a gran escala. También es una superpotencia política en la región y un adversario de Irán”.
OT conectado a TI es más fácil de atacar
Es aún más fácil atacar los sistemas de control industrial cuando están conectados a una red de TI. Los actores de amenazas pueden apuntar a la infraestructura de OT de forma remota atacando primero la red de TI. Todo lo que tienen que hacer es enviar un correo electrónico de phishing a un empleado o consultor desprevenido. Si pueden engañar a una sola persona para que haga clic en ese enlace en un correo electrónico, pueden comprometer un dispositivo dentro de la organización objetivo, lo que les da acceso a la infraestructura corporativa. Desde allí, pueden atravesar la red hasta llegar a un dispositivo o servidor que tenga acceso a la infraestructura de OT.
Incluso si un actor de amenazas obtiene acceso a una sola computadora, puede usar numerosas tácticas y técnicas para volcar las credenciales administrativas válidas. Si una computadora está conectada a un controlador de dominio, por ejemplo, en una organización donde los administradores del sistema inician sesión de forma remota de vez en cuando para ayudar a solucionar un problema o para instalar un nuevo software para los usuarios, las contraseñas administrativas se almacenan automáticamente en caché en la computadora por parte del operador. sistema. Si los actores de amenazas pueden recopilar esas contraseñas, pueden iniciar sesión en otras máquinas en la red con privilegios administrativos.
“Imagina este escenario”, dice Al Kayed. “Entra un empleado, pide algo de comer, se muere de aburrimiento y recibe un correo electrónico que dice, haga clic aquí. Él o ella hace clic en ese enlace y se instala un malware en su dispositivo. Se acabo. La computadora de esa persona ahora está comprometida, y está conectada a la red de TI, donde surge la oportunidad para que el actor de amenazas use ciertas técnicas para apuntar a numerosos sistemas.
“Si una central eléctrica que genera electricidad para una ciudad deja de funcionar durante una hora, es un gran problema”
Mohammad Al Kayed, Ciberseguridad de Black Mountain
“Si, por casualidad, algún administrador en algún momento inició sesión para solucionar el problema del dispositivo de ese empleado, entonces es muy probable que esas credenciales administrativas aún persistan. Los actores de amenazas pueden volcar las credenciales y utilizarlas en otros lugares de la red corporativa.
“Ahora, con esa contraseña administrativa, un actor de amenazas puede conectarse a otros sistemas dentro de la red. Ahora comienzan a saltar de un dispositivo a otro, hasta que encuentran el dispositivo que les interesa, como un servidor que está conectado a la instalación industrial”.
Al Kayed agrega: “Dentro de una instalación industrial hay estaciones de trabajo de ingeniería y otros sistemas informáticos a los que puede acceder. Ahora tiene una forma de instalar de forma remota ese malware en esos sistemas de control industrial. No tiene que comprometer inicialmente ninguna estación de trabajo de ingeniería en las instalaciones, pero debido a que esas instalaciones están conectadas a la red corporativa, que, a su vez, está conectada a Internet, entonces hay un camino que puede tomar. Puede saltar de un dispositivo a otro hasta llegar a la estación de trabajo de ingeniería objetivo dentro de la instalación petroquímica o dentro de la planta de energía.
“Si su plataforma de redes sociales favorita deja de funcionar durante una hora, no es gran cosa. Pero si una planta de energía que genera electricidad para una ciudad deja de funcionar durante una hora, eso es un gran problema. Con la interconectividad de esos sistemas, y con esos sistemas conectados a su red de TI, cualquiera que apunte a la red de TI también puede obtener acceso a la infraestructura de OT”.
El gobierno saudí contraataca
Una de las lecciones de esta serie de eventos es que las armas cibernéticas son peligrosas para todos. El país objetivo puede aprender las herramientas del oficio y, potencialmente, restaurar el arma que se usó contra él y luego apuntar a otra persona. Arabia Saudita es el país de la región con la diana más grande en su espalda porque tiene muchas instalaciones de fabricación. Así que no sorprende que los iraníes tomaran lo que aprendieron y lo usaron para atacar a su mayor competidor en la región.
Pero el gobierno saudí está tomando medidas para evitar que tales ataques vuelvan a ocurrir. Está introduciendo un conjunto de leyes, llamado Controles esenciales de ciberseguridad (ECC)que son controles de ciberseguridad obligatorios ideados por la Autoridad Nacional de Seguridad Cibernética (NCA) para contrarrestar el tipo de ataque descrito anteriormente. Arabia Saudita es ahora uno de los pocos países de la región con una iniciativa de seguridad que se centra en algo más que los sistemas de TI. También ha incluido los riesgos en la infraestructura de OT.
“Independientemente de los contratiempos pasados, Arabia Saudita ha demostrado ser un país líder en la región en lo que respecta a la seguridad cibernética”, dice Al Kayed. “Los esfuerzos concentrados durante los últimos cinco años y la capacidad de tomar decisiones rápidas con respecto a la seguridad cibernética de la infraestructura crítica de Arabia Saudita han valido la pena. Arabia Saudita ahora ocupa el segundo lugar en el más reciente Índice mundial de ciberseguridadestableciendo un ejemplo a seguir para otros países de la región”.
El mundo aprende cuatro grandes lecciones sobre la seguridad de ICS
El mundo entero ahora se esfuerza por proteger los sistemas de control industrial. El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) publicó su Guía de seguridad de los sistemas de control industrial en 2015, un conjunto integral de directrices sobre la protección de la tecnología industrial frente a las amenazas a la seguridad cibernética.
Pero el ataque a Irán y los posteriores ataques a Arabia Saudita enseñan cuatro grandes lecciones. El primero es segregar las redes de TI y OT. Demasiadas organizaciones permiten un acceso más amplio a la red OT de lo necesario.
La segunda es utilizar un sistema industrial anti-malware y de detección y prevención de intrusiones. Los HMI y los PLC son los principales objetivos de los ataques a las redes OT. Muchas personas creen erróneamente que pueden usar antimalware de TI en estaciones de trabajo de ingeniería para contrarrestar estos ataques. Pero la mayoría de los sistemas antimalware de TI no reconocen el malware OT, que ataca a los PLC en lugar de a las computadoras.
La tercera medida es hacer uso de tecnología especializada como diodos de datos, que hacen de manera física lo que hace un firewall de red de manera lógica. El diseño del circuito dentro de un diodo de datos solo permite que la comunicación vaya en una dirección. Entonces, por ejemplo, puede leer datos de una RTU, pero no puede instalar nada en ella.
La cuarta medida crítica es el monitoreo. La práctica de “monitoreo de seguridad” es común en TI. Los analistas monitorean la infraestructura las 24 horas del día, los 7 días de la semana. Sin embargo, no muchas instalaciones de OT actualmente hacen eso. Ellos deberían.
