Ha habido una serie de informes de ataques a los sistemas de control industrial (ICS) en los últimos años. Mirando un poco más de cerca, la mayoría de los ataques parecen haberse desbordado de la TI tradicional. Eso es de esperarse, ya que los sistemas de producción comúnmente están conectados a redes corporativas ordinarias en este punto.
Aunque nuestros datos no indican en este punto que muchos actores de amenazas se dirijan específicamente a los sistemas industriales; de hecho, la mayoría de las pruebas apuntan a un comportamiento puramente oportunista. La marea podría cambiar en cualquier momento, una vez que la complejidad adicional de comprometer los entornos OT promete dar sus frutos. . Los delincuentes aprovecharán cualquier riesgo que tengan para chantajear a las víctimas con esquemas de extorsión, y detener la producción puede causar un daño inmenso. Es probable que solo sea cuestión de tiempo. Por lo tanto, la ciberseguridad para la tecnología operativa (OT) es de vital importancia.
El engaño es una opción eficaz para mejorar la detección de amenazas y las capacidades de respuesta. Sin embargo, la seguridad de ICS se diferencia de la seguridad de TI tradicional en varios aspectos. Si bien la tecnología de engaño para uso defensivo como los honeypots ha progresado, aún existen desafíos debido a diferencias fundamentales como los protocolos utilizados. Este artículo pretende detallar el progreso y los desafíos cuando la tecnología engañosa pasa de la TI tradicional a la seguridad ICS.
El valor del engaño: recuperar la iniciativa
La tecnología de engaño es un método de defensa de seguridad activo que detecta actividades maliciosas de manera efectiva. Por un lado, esta estrategia construye un entorno de información falsa y simulaciones para desviar el juicio de un adversario, haciendo que los atacantes desprevenidos caigan en una trampa para perder su tiempo y energía, aumentando la complejidad e incertidumbre de la intrusión.
Al mismo tiempo, los defensores pueden recopilar registros de ataques más completos, implementar contramedidas, rastrear el origen de los atacantes y monitorear sus comportamientos de ataque. Grabar todo para investigar las tácticas, técnicas y procedimientos (TTP) que utiliza un atacante es de gran ayuda para los analistas de seguridad. Las técnicas de engaño pueden devolver la iniciativa a los defensores.
Descubre lo último en ciberseguridad con integrales”Navegador de seguridad 2023» informe. Este informe basado en la investigación se basa 100% en información de primera mano de 17 SOC globales y 13 CyberSOC de Orange Cyberdefense, CERT, Epidemiology Labs y World Watch y proporciona una gran cantidad de información valiosa y perspectivas sobre el presente y el futuro. panorama de amenazas.
Con algunas aplicaciones engañosas, por ejemplo, los honeypots, el entorno operativo y la configuración se pueden simular, lo que atrae al atacante para que penetre en el objetivo falso. De esta forma, los defensores podrán tomar las cargas útiles que los atacantes arrojan y obtener información sobre los hosts del atacante o incluso el navegador web mediante JavaScript en las aplicaciones web. Además, es posible conocer las cuentas de redes sociales del atacante mediante el secuestro de JSONP y contrarrestar al atacante a través de ‘archivos de miel’. Se puede predecir que la tecnología del engaño será más madura y se utilizará más ampliamente en los próximos años.
Recientemente, la integración de la tecnología de la información y la producción industrial se ha acelerado con el rápido desarrollo de Internet industrial y la fabricación inteligente. La conexión de redes y equipos industriales masivos a la tecnología de TI conducirá inevitablemente a un aumento de los riesgos de seguridad en este campo.
Producción en riesgo
Los incidentes de seguridad frecuentes, como ransomware, violaciones de datos y amenazas persistentes avanzadas, afectan gravemente la producción y las operaciones comerciales de las empresas industriales y amenazan la seguridad de la sociedad digital. Por lo general, estos sistemas son propensos a ser débiles y ser explotados fácilmente por el atacante debido a su arquitectura simple, que utiliza poca potencia de procesamiento y memoria. Es un desafío proteger ICS de actividades maliciosas, ya que es poco probable que los componentes de ICS reciban actualizaciones o parches debido a su arquitectura simple. Por lo general, tampoco es posible instalar agentes de protección de puntos finales. Teniendo en cuenta estos desafíos, el engaño puede ser una parte esencial del enfoque de seguridad.
- Conpot es un honeypot de baja interacción que puede simular IEC104, Modbus, BACnet, HTTP y otros protocolos, que se pueden implementar y configurar fácilmente.
- XPOT es un honeypot PLC altamente interactivo basado en software que puede ejecutar programas. Simula los PLC de la serie Siemens S7-300 y permite al atacante compilar, interpretar y cargar programas de PLC en XPOT. XPOT es compatible con los protocolos S7comm y SNMP y es el primer honeypot de PLC altamente interactivo. Dado que está basado en software, es muy escalable y permite grandes redes de sensores o señuelos. XPOT se puede conectar a un proceso industrial simulado para que las experiencias de los adversarios sean integrales.
- llorando es un honeypot ICS Smart-Grid virtual y poco interactivo que simula dispositivos PLC Siemens Simatic 300. Utiliza servidores web Nginx y miniweb para simular HTTP(S), un script de Python para simular el protocolo ISO-TSAP del Paso 7 y una implementación SNMP personalizada. Los autores implementaron el honeypot dentro del rango de IP de la universidad y observaron intentos de inicio de sesión SSH, escaneo y ping. Se puede ver que la capacidad de interacción está aumentando gradualmente desde la simulación del protocolo ICS al entorno ICS.
Con el desarrollo de la tecnología de ciberseguridad, el engaño se ha aplicado en diversas circunstancias, como la web, las bases de datos, las aplicaciones móviles y la IoT. La tecnología de engaño se ha incorporado en algunas aplicaciones de ICS honeypot en el campo de OT. Por ejemplo, los honeypots de ICS como Conpot, XPOT y CryPLH pueden simular Modbus, S7, IEC-104, DNP3 y otros protocolos.
En consecuencia, la tecnología de engaño, como las aplicaciones trampa mencionadas anteriormente, puede compensar la baja eficiencia de los sistemas de detección de amenazas desconocidas y puede desempeñar un papel importante para garantizar la seguridad de las redes de control industrial. Estas aplicaciones pueden ayudar a detectar ataques cibernéticos en los sistemas de control industrial y mostrar una tendencia general de riesgo. Las vulnerabilidades reales de OT explotadas por los atacantes pueden capturarse y enviarse al analista de seguridad, lo que lleva a parches e inteligencia oportunos. Además de esto, es posible recibir una alerta rápida, por ejemplo, antes de que se produzca un ataque de ransomware y evitar pérdidas masivas y una parada en la producción.
Desafíos
Sin embargo, esto no es una ‘bala de plata’. En comparación con el engaño sofisticado disponible en la seguridad de TI tradicional, el engaño en ICS aún enfrenta algunos desafíos.
En primer lugar, existen numerosos tipos de dispositivos de control industrial, así como protocolos, y muchos protocolos son propietarios. Es casi imposible tener una tecnología de engaño que se pueda aplicar a todos los dispositivos de control industrial. Por lo tanto, los honeypots y otras aplicaciones a menudo deben personalizarse para la emulación de diferentes protocolos, lo que genera un umbral relativamente alto para la implementación en algunos entornos.
El segundo problema es que los honeypots de control industrial virtual puro todavía tienen capacidades de simulación limitadas, lo que los hace susceptibles a la identificación de piratas informáticos. El desarrollo y la aplicación actuales de honeypots ICS puramente virtuales solo permiten la simulación subyacente de protocolos de control industrial, y la mayoría de ellos han sido de código abierto, fáciles de encontrar por motores de búsqueda como Shodan o Zoomeye. La recopilación de datos de ataque adecuados y la mejora de las capacidades de simulación de los honeypots de ICS sigue siendo un desafío para los investigadores de seguridad.
Por último, pero no menos importante, los honeypots de control industrial de alta interacción consumen recursos considerables y tienen altos costos de mantenimiento. Aparentemente, los honeypots a menudo requieren la introducción de sistemas o equipos físicos para construir un entorno de simulación de ejecución real. Sin embargo, los sistemas y equipos de control industrial son costosos, difíciles de reutilizar y difíciles de mantener. Incluso los dispositivos ICS aparentemente similares a menudo son notablemente diversos en términos de funcionalidad, protocolos e instrucciones.
¿Vale la pena?
Según la discusión anterior, la tecnología de engaño para ICS debe considerarse para la integración con la nueva tecnología. La capacidad de simular e interactuar con un entorno simulado fortalece la tecnología de defensa. Además, el registro de ataques capturado por la aplicación de engaño es de gran valor. Analizado a través de herramientas de IA o Big data, ayuda a obtener una comprensión profunda de la inteligencia de campo de ICS.
En resumen, la tecnología de engaño juega un papel vital en el rápido desarrollo de la seguridad de la red ICS y mejora la inteligencia y la capacidad de defensa. Sin embargo, la tecnología aún enfrenta desafíos y necesita un gran avance.
Si está interesado en obtener más información sobre lo que los ocupados investigadores de Orange Cyberdefense han investigado este año, puede pasar a la página de inicio de su recientemente publicado Navegador de seguridad.
Nota: Esta pieza perspicaz ha sido elaborada por expertos por Thomas Zhang, analista de seguridad en Orange Cyberdefense.