El ataque de ransomware Colonial Pipeline fue noticia en mayo cuando la violación de Darkside interrumpió el suministro de petróleo de EE. UU.
Pero a pesar de lo malo que era Colonial Pipeline, estaba lejos de ser el primer distribuidor de petróleo y gas en ser blanco de ataques: de 2011 a 2013, los actores chinos patrocinados por el Estado apuntaron a 23 operadores de gasoductos de Estados Unidos en lo que la Agencia de Seguridad de Infraestructura y Ciberseguridad ( CISA) y la Oficina Federal de Investigaciones (FBI) lo describen como una “campaña de intrusión y phishing … con el propósito de poner en riesgo la infraestructura de oleoductos de EE. UU.”.
Los riesgos son significativos: Colonial Pipeline pagó alrededor de $4 millones de dólares en criptomonedas para desbloquear sus sistemas. El ataque promedio de ransomware cuesta alrededor de $ 761,000 (incluida la recuperación).
Y, en verdad, estas infracciones pueden ser mucho más costosas. El aviso de CISA / FBI señaló que los ataques anteriores probablemente se llevaron a cabo para “ayudar a China a desarrollar capacidades de ataque cibernético contra oleoductos estadounidenses para dañar físicamente los oleoductos o interrumpir las operaciones de los oleoductos”. Otras brechas recientes, como el ataque a la planta de tratamiento de agua en Oldsmar, Florida, subrayan cuán vulnerables son el Internet de las cosas (OT), el Internet industrial de las cosas (IOT) y todos los que dependen de los dispositivos y recursos conectados a Internet son demasiado avanzados. amenazas cibernéticas.
Mejores prácticas para el control y gestión de dispositivos de OT
Con la superficie de ataque de OT y IOT configurada para expandirse a casi 25 mil millones de dispositivos para 2025, está claro que los equipos de seguridad deben identificar soluciones para proteger el Internet de las cosas.
Para proteger OT y IOT, los equipos de seguridad deben utilizar algunos de los fundamentos que hemos desarrollado para proteger a los usuarios humanos. Específicamente, los equipos de seguridad deben tratar los sistemas OT y IOT como identidades: un usuario es un usuario, ya sea un nuevo empleado en contabilidad, un empleado actual que ha cambiado de roles internamente, un chatbot que responde a las consultas de los clientes o los controles de una planta de tratamiento de agua.
Históricamente, los sistemas OT y IoT se desarrollaron más allá de la supervisión de los equipos de seguridad, eso puede limitar la visibilidad de los analistas sobre lo que puede hacer un sistema de OT determinado. Los equipos de seguridad pueden comenzar a abordar eso al consultar nuestras sugerencias sobre la seguridad de dispositivos inteligentes:
- Comprender lo que pueden hacer las cuentas de OT, las decisiones que pueden tomar y las acciones que pueden tomar.
- Revisar las cuentas inactivas y cuánto tiempo han estado inactivas; desaprovisionando aquellos que ya no están en uso.
- Comprender qué cuentas de máquinas se han emitido y no se han utilizado.
- Limitar las cuentas de las máquinas (o ciertas acciones) para restringir lo que un sistema de OT puede hacer fuera del horario de atención.
Por último, asegúrese de incluir la autenticación en su infraestructura de IoT. En San Francisco, un pirata informático usó el nombre de usuario y la contraseña de un antiguo empleado y luego eliminó los programas que la planta de agua usaba para tratar el agua potable.
Las organizaciones deben tener bien identificados datos como cuando un usuario solicita acceso, desde dónde solicitan acceso y el dispositivo que está usando, para entrenar la autenticación basada en riesgos y evitar que un desconocido obtenga acceso.
Finalmente, las organizaciones también deben asegurarse de tener autenticación multifactor (MFA) para verificar a los usuarios y garantizar la higiene cibernética de referencia.
Consulta la nota original en RSA
