Muchos de estos activos se han conectado a la red a lo largo de los años, lo que los vuelve altamente susceptibles a ataques. Estos dispositivos heredados a menudo se implementaban en redes planas, en un momento de la industria donde la necesidad de seguridad pasó a un segundo plano frente a otras prioridades, como la alta disponibilidad y el rendimiento.
Contenidos de este artículo:
Factores críticos
¿Cómo suceden estos ataques cibernéticos?
La solución
La buena noticia es que la mayoría de los activos de IIoT no están expuestos directamente a Internet, lo que significa que los atacantes deben confiar en otros métodos para acceder a ellos. Para ello básicamente utilizan las mismas técnicas utilizadas en otros ataques para llegar a los activos de IIoT.
El factor más común y mayormente comprometido es el correo electrónico. Por lo que un atacante puede intentar recopilar información sobre ingenieros, gerentes de planta y desarrolladores que tienen acceso a sistemas IIoT y atacarlos con correos electrónicos de phishing. Poner en peligro una computadora propiedad de cualquiera de estos usuarios puede ser el camino más directo para poner en riesgo los activos de IIoT.
Los sistemas sin parches, las contraseñas de dispositivo simples o predeterminadas como: 1234, cisco, hola, etc. y las políticas de acceso remoto relajadas para los contratistas de mantenimiento ofrecen a los atacantes vías de acceso fáciles. Las debilidades en cualquiera de estos pueden proporcionar formas para que un atacante se mueva lateralmente y obtenga acceso.
La realidad es que las amenazas específicas de IIoT no son tan comunes. Hay amenazas que han atacado en masa a dispositivos IoT generales, como Mirai y VPNFilter. Y hay amenazas como Stuxnet, que se dirigió específicamente a los PLC. Por supuesto, estas amenazas sumamente específicas son motivo de preocupación. Pero es mucho más probable que un dispositivo IIoT sea comprometido y reconfigurado por un atacante que comprometido por un troyano o un gusano.
Digamos que un atacante se propone poner de rodillas una industria en particular. Él o ella comienza creando un atractivo correo electrónico de phishing con un PDF malicioso y lo envía a RR.HH. bajo la apariencia de una solicitud de empleo:
1.- El empleado responsable de monitorear las consultas laborales abre este PDF, comprometiendo inevitablemente su computadora.
2.- El atacante trabaja lateralmente a través de la red, monitoreando el tráfico de la red y escaneando los sistemas comprometidos, buscando inicios de sesión y tokens de autenticación.
3.- Sin la autenticación multifactor habilitada para el acceso, encuentran pocos problemas al hacerlo.
4.- El atacante finalmente logra comprometer un controlador de dominio, donde implementan malware utilizando un Objeto de política de grupo, comprometiendo con éxito toda la red de TI.
5.- Debido a la mala segmentación, el atacante finalmente logra llegar a la red OT.
6.- Una vez dentro, el atacante realiza un reconocimiento y marca los activos IIoT presentes.
7.- El atacante identifica los servicios vulnerables en los activos, los explota y los desconecta, deteniendo la producción y ocasionando pérdidas millonarias a la compañía.
La protección de los activos de IIoT es posiblemente una de las tareas más difíciles en materia de seguridad informática. Existe una amplia variedad de dispositivos, muchos de los cuales funcionan de manera muy personalizada y no responden bien a las interrupciones que podrían ser causadas por diversos procesos y procedimientos de seguridad.
Afortunadamente, existen varios productos de seguridad de Cisco que pueden ayudarte a proteger tu información:
En última instancia, un enfoque en capas proporcionará una mejor seguridad. Por ejemplo, Cisco Cyber Vision puede automatizar la visibilidad de los dispositivos industriales y proteger los procesos operativos. Integrado con la cartera de seguridad de Cisco, proporciona un contexto para la creación de perfiles de dispositivos industriales en Stealthwatch y mapea patrones de comunicación para definir y hacer cumplir la política mediante la segmentación granular a través de la planta.
¿Quieres saber como Risoul puede ayudarte a identificar vulnerabilidades e identificar cual de estas soluciones necesitas? Contáctanos y/o descarga las siguientes infografías para saber más a detalle de cada solución.
Otros contenidos