¿Cómo garantizar la continuidad operativa en entornos operacionales con casos de uso para incidentes de ciberseguridad?
Resumen: La madurez de ciberseguridad está en la efectividad del uso de las herramientas, no en tenerlas. El aumento de ataques tipo Malware y Ransomware a los sistemas industriales en 2023 hace necesario la detección de anomalías y amenazas, en busca de actividad maliciosa o violaciones de políticas de seguridad en los sistemas de control. La actividad proactiva permitirá reducir el tiempo medio de detección de un incidente de ciberseguridad (MTTD) y el tiempo medio de respuesta al incidente. (MTTR). Mientras más pronto detectemos, más pronto responderemos. Para ello el concepto de caso de uso es importante. Un caso de uso se refiere a un escenario específico donde se generan una guía que describe acciones, eventos, fuentes de datos y más relevantes respuestas a
incidentes de ciberseguridad.
Palabras Claves:
Sistema de Control, MSSP, SOC, Casos de Uso, Malware.
La necesidad de adoptar el modelo de Industria 4.0, ha hecho realidad la interconexión de los Sistemas de lo Sistemas de Control Industrial (ICS) hacia internet, lo que abre las puertas a los cibercriminales para explotar sus vulnerabilidades; es por eso por lo que los ciberataques en entornos OT (Tecnologías de la Operación) han ido en aumento debido a la redituable que se ha convertido para los cibercriminales; en la actualidad el cibercrimen genera más ganancias ilícitas que el narcotráfico. ¿Como abordarlo? Un aliado puede ser un Proveedor de servicios gestionados de ciberseguridad (MSSP), que brinda soluciones especializadas y personalizadas de acuerdo con la complejidad de los sistemas de cada cliente, así como un acompañamiento en ambientes operacionales de principio a fin de una estrategia de ciberseguridad.
Retos Actuales
La naturaleza de los ICS trae consigo diferentes retos para proteger las redes de ambientes operacionales (OT):
- Los ICS deben tener una disponibilidad del 99.99%.
- Múltiples ciber activos legacy y obsoletos y el uso de protocolos industriales y propios de cada fabricante de automatización original (OEM).
- La falta de personal cualificado en ciberseguridad OT
- Adición de múltiples sistemas de Internet of Things (IoT) a los sistemas ICS.
¿Cuáles son los primeros pasos para lograr ciber-resiliencia y mantener la continuidad operativa?
Es necesario contar con una estrategia de ciberseguridad OT para mantener la continuidad operativa y ser ciber-resiliente. Las empresas pueden tener desarrollar sus propios recursos o contratar a un MSSP para lograr un Centro Operaciones de Seguridad (SOC). En ambos casos se deberá contar con un equipo de profesionales expertos y cualificados, así como infraestructura certificada ante diferentes estándares de ciber amenazas y seguridad. Y con ello se podrán crear casos de usos.
¿Qué es un caso de uso en ambientes operacionales?
Un caso de uso se refiere a un escenario específico donde se generan una guía que describe acciones, eventos, fuentes de datos y más relevantes respuestas a incidentes de ciberseguridad.
¿Cuál es proceso de creación de casos de uso?
Los seis pasos básicos por parte del SOC para crear casos de uso son:
1.- Identificación de Amenazas Relevantes: El primer paso es identificar las amenazas cibernéticas que son relevantes para la Industria. Por ejemplo, en el 2022, el malware Industroyer2, que explotaba vulnerabilidades en las redes industriales que ocupaban IEC104, era un actor maligno relevante en el sector de transmisión y distribución de la energía. En contraste, este malware no estaba presente en industrias de proceso como minería o manufactura.
Imagen 1 Principales amenazas en el primer semestre del 2023.Fuente:Nozomi Networks Lab Report H1-2023
2.- Escenario de Amenaza: Para cada amenaza identificada, se debe definir un escenario con la descripción de los pasos que seguiría un agente malicioso, las técnicas que podrían utilizar y las posibles señales de alerta. Mitre ATT&CK®, es una excelente ayuda para catalogar y analizar las Amenazas Persistentes Avanzadas. Por ejemplo: A diferencia de Industroyer, que se centró en IEC-101, IEC-104, IEC 61850 y OPC Data Access, principalmente a través de diferentes bibliotecas de vínculos dinámicos (DLL), el programa maligno denominado Industroyer2 es un ejecutable independiente que apunta exclusivamente a IEC-104. Se identifica el modus operandi.
3.- Acceso a Inteligencia de Amenazas (Threat Intelligence) para la identificación de fuentes de datos y definición de Indicadores de Compromiso (IOC): Comprender el escenario de amenaza, incluyendo registros de sistemas, registros de redes, registros de aplicaciones, registros de autenticación e identificar los indicadores de compromiso específicos (direcciones IP, URLs maliciosas, hashes de archivos sospechosos, patrones de tráfico anómalos) que podrían indicar la presencia de la amenaza. Por ejemplo, el hash de un archivo ejecutable podría ser claramente un indicador de compromiso; con Industroyer2 un archivo ejecutable (Pservice_PPD.exe) contiene configuraciones codificadas en las líneas de código y una lista de direcciones de objetos de información (IOA) que permitirán al atacante cambiar el estado de la estación remota asociada con dicha lista de direcciones. Esta IOA identifica un elemento de datos específico de un dispositivo y se puede asociar con un interruptor de la línea de alimentación, con un disyuntor o con la configuración del estado de un relevador.
Imagen 2 Fuentes de datos y Listas de indicadores de Compromiso para Inteligencia de Amenazas. Fuente Nozomi Networks.
Imagen 3 Regla Yara para Industroyer2. Fuente Nozomi Networks.
5.- Procedimientos de Respuesta: Se establecen los pasos y procedimientos, cómo se investigará la alerta, qué acciones se tomarán para contener la amenaza y cómo se mitigará el impacto. En los ataques del Industroyer2 antes de bloquear y aislar los componentes comprometidos, se verificaba cuáles son las consecuencias de tales acciones en las redes de transmisión o distribución. Aislar un componente puede hacer que una subestación eléctrica quede fuera de línea y con ello, una población se quedara sin electricidad.
6.-Validación y Ajuste: Necesario siempre un constante ajuste de las reglas, los indicadores y los procedimientos en función de los resultados de las pruebas. Industroyer 2 parte de la base de Industroyer. Comparten características comunes, pero Industroyer2 evoluciono y esos matices son los que constantemente son los que hacen que sea necesario revisar constantemente los casos de
Imagen 4 Comparación entre Industroyer (izquierda) e Industroyer2 (derecha). Fuente: Industroyer vs. Industroyer2: Evolution of the IEC 104 Component, Nozomi Networks Lab
En el próximo artículo detallaremos seis casos de uso que son fundamentales para un servicio de Centro de Operaciones de Seguridad (SOC) con enfoque industrial:
1.- Detección de Malware Avanzado: Identificación de comportamientos y patrones de actividad sospechosa en Estaciones de Operación, SCADA y PLCs
2.-Detección de Movimiento Lateral: Identificación de movimientos inusuales y no autorizados dentro de la red, lo que podría indicar intentos de escalada de privilegios o propagación de amenazas. Por ejemplo, explorar puertos del nivel 1 del modelo de Purdue.
3.- Detección de Exfiltración de Datos: Especialmente para el nivel 3 y 4 del Modelo de Purdue, el monitoreo de tráfico de red y actividad de historizadores o estaciones de operación con recetas y fórmulas para detectar intentos de exfiltración de datos confidenciales fuera de la organización.4.- Detección de Ataques de Denegación de Servicio (DDoS): Identificación de patrones de tráfico inusuales (altas tasas de retransmisión consecutivas) que podrían indicar ataques DDoS dirigidos a servidores Scada, por ejemplo.
5.- Detección de Comportamiento Anómalo del Usuario: Monitorización de las actividades de los usuarios para detectar comportamientos anómalos, como cargar y descargar programas de configuración a los componentes del nivel 1 del modelo de Purdue fuera de horario y no desde la estación de ingeniería. Esto incluye también: posibles compromisos de cuentas y actividades de intrusos.
6.- Detección de Vulnerabilidades y Exploits: Identificación de intentos de explotación de vulnerabilidades conocidas como las que tienen versiones antiguas de Log4j una biblioteca de código abierto usada en muchos softwares de aplicación industrial.
Imagen 5 Amenazas detectadas por Casos de uso.
Desarrollar casos de uso se refiere a crear una guía detallada para un escenario específico que describe acciones, eventos, fuentes de datos y más relevantes respuestas a incidentes de ciberseguridad. Los seis pasos: Identificación de Amenazas Relevantes, Escenario de Amenaza, Acceso a Inteligencia de Amenazas, Creación de Reglas y Alertas, Procedimientos de Respuesta y Validación y Ajuste son una lista de acciones para lograr alcanzar una continuidad operativa ciber-resiliente. En el próximo artículo revisaremos a detalle los casos de uso presentados.
Luis Daniel Avendaño Trejo
Arquitecto de soluciones OT en Cybolt; egresado como Ingeniero en Sistemas Automotrices y Técnico en Contaduría por el Instituto Politécnico Nacional, con estudios en Francia en Electrónica, Electricidad y Automatización por la Université de Lille.
Experiencia en el desarrollo e implementación de proyectos de automatización y control, soluciones de ciberseguridad para entornos industriales y desarrollo de negocios.
Alexei Pinal
Es Ingeniero en Comunicaciones y Electrónica por el Instituto Politécnico
Nacional.
Responsable del desarrollo comercial México y Centroamérica para Nozomi Networks, líder en visibilidad y ciberseguridad en ambientes OT e IoT. Antes de Nozomi Networks, Alexei trabajó en empresas globales de soluciones de automatización para la industria Química, M&M, Farmacéutica, Petróleo y de Alimentos.
