Ha habido una serie de informes de ataques a los sistemas de control industrial (ICS) en los \u00faltimos a\u00f1os. Mirando un poco m\u00e1s de cerca, la mayor\u00eda de los ataques parecen haberse desbordado de la TI tradicional. Eso es de esperarse, ya que los sistemas de producci\u00f3n com\u00fanmente est\u00e1n conectados a redes corporativas ordinarias en este punto. <\/p>\n
Aunque nuestros datos no indican en este punto que muchos actores de amenazas se dirijan espec\u00edficamente a los sistemas industriales; de hecho, la mayor\u00eda de las pruebas apuntan a un comportamiento puramente oportunista. La marea podr\u00eda cambiar en cualquier momento, una vez que la complejidad adicional de comprometer los entornos OT promete dar sus frutos. . Los delincuentes aprovechar\u00e1n cualquier riesgo que tengan para chantajear a las v\u00edctimas con esquemas de extorsi\u00f3n, y detener la producci\u00f3n puede causar un da\u00f1o inmenso. Es probable que solo sea cuesti\u00f3n de tiempo. Por lo tanto, la ciberseguridad para la tecnolog\u00eda operativa (OT) es de vital importancia. <\/p>\n
El enga\u00f1o es una opci\u00f3n eficaz para mejorar la detecci\u00f3n de amenazas y las capacidades de respuesta. Sin embargo, la seguridad de ICS se diferencia de la seguridad de TI tradicional en varios aspectos. Si bien la tecnolog\u00eda de enga\u00f1o para uso defensivo como los honeypots ha progresado, a\u00fan existen desaf\u00edos debido a diferencias fundamentales como los protocolos utilizados. Este art\u00edculo pretende detallar el progreso y los desaf\u00edos cuando la tecnolog\u00eda enga\u00f1osa pasa de la TI tradicional a la seguridad ICS.<\/p>\n
El valor del enga\u00f1o: recuperar la iniciativa<\/strong><\/h2>\nLa tecnolog\u00eda de enga\u00f1o es un m\u00e9todo de defensa de seguridad activo que detecta actividades maliciosas de manera efectiva. Por un lado, esta estrategia construye un entorno de informaci\u00f3n falsa y simulaciones para desviar el juicio de un adversario, haciendo que los atacantes desprevenidos caigan en una trampa para perder su tiempo y energ\u00eda, aumentando la complejidad e incertidumbre de la intrusi\u00f3n. <\/p>\n
Al mismo tiempo, los defensores pueden recopilar registros de ataques m\u00e1s completos, implementar contramedidas, rastrear el origen de los atacantes y monitorear sus comportamientos de ataque. Grabar todo para investigar las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) que utiliza un atacante es de gran ayuda para los analistas de seguridad. Las t\u00e9cnicas de enga\u00f1o pueden devolver la iniciativa a los defensores. <\/p>\n
\nDescubre lo \u00faltimo en ciberseguridad con integrales\u201dNavegador de seguridad 2023<\/a><\/b>” informe. Este informe basado en la investigaci\u00f3n se basa 100% en informaci\u00f3n de primera mano de 17 SOC globales y 13 CyberSOC de Orange Cyberdefense, CERT, Epidemiology Labs y World Watch y proporciona una gran cantidad de informaci\u00f3n valiosa y perspectivas sobre el presente y el futuro. panorama de amenazas.<\/p>\n<\/div>\nCon algunas aplicaciones enga\u00f1osas, por ejemplo, los honeypots, el entorno operativo y la configuraci\u00f3n se pueden simular, lo que atrae al atacante para que penetre en el objetivo falso. De esta forma, los defensores podr\u00e1n tomar las cargas \u00fatiles que los atacantes arrojan y obtener informaci\u00f3n sobre los hosts del atacante o incluso el navegador web mediante JavaScript en las aplicaciones web. Adem\u00e1s, es posible conocer las cuentas de redes sociales del atacante mediante el secuestro de JSONP y contrarrestar al atacante a trav\u00e9s de ‘archivos de miel’. Se puede predecir que la tecnolog\u00eda del enga\u00f1o ser\u00e1 m\u00e1s madura y se utilizar\u00e1 m\u00e1s ampliamente en los pr\u00f3ximos a\u00f1os.<\/p>\n
Recientemente, la integraci\u00f3n de la tecnolog\u00eda de la informaci\u00f3n y la producci\u00f3n industrial se ha acelerado con el r\u00e1pido desarrollo de Internet industrial y la fabricaci\u00f3n inteligente. La conexi\u00f3n de redes y equipos industriales masivos a la tecnolog\u00eda de TI conducir\u00e1 inevitablemente a un aumento de los riesgos de seguridad en este campo.<\/p>\n
Producci\u00f3n en riesgo<\/strong><\/h2>\nLos incidentes de seguridad frecuentes, como ransomware, violaciones de datos y amenazas persistentes avanzadas, afectan gravemente la producci\u00f3n y las operaciones comerciales de las empresas industriales y amenazan la seguridad de la sociedad digital. Por lo general, estos sistemas son propensos a ser d\u00e9biles y ser explotados f\u00e1cilmente por el atacante debido a su arquitectura simple, que utiliza poca potencia de procesamiento y memoria. Es un desaf\u00edo proteger ICS de actividades maliciosas, ya que es poco probable que los componentes de ICS reciban actualizaciones o parches debido a su arquitectura simple. Por lo general, tampoco es posible instalar agentes de protecci\u00f3n de puntos finales. Teniendo en cuenta estos desaf\u00edos, el enga\u00f1o puede ser una parte esencial del enfoque de seguridad.<\/p>\n
\n\n- Conpot<\/strong> es un honeypot de baja interacci\u00f3n que puede simular IEC104, Modbus, BACnet, HTTP y otros protocolos, que se pueden implementar y configurar f\u00e1cilmente. <\/li>\n
- XPOT<\/strong> es un honeypot PLC altamente interactivo basado en software que puede ejecutar programas. Simula los PLC de la serie Siemens S7-300 y permite al atacante compilar, interpretar y cargar programas de PLC en XPOT. XPOT es compatible con los protocolos S7comm y SNMP y es el primer honeypot de PLC altamente interactivo. Dado que est\u00e1 basado en software, es muy escalable y permite grandes redes de sensores o se\u00f1uelos. XPOT se puede conectar a un proceso industrial simulado para que las experiencias de los adversarios sean integrales. <\/li>\n
- llorando<\/strong> es un honeypot ICS Smart-Grid virtual y poco interactivo que simula dispositivos PLC Siemens Simatic 300. Utiliza servidores web Nginx y miniweb para simular HTTP(S), un script de Python para simular el protocolo ISO-TSAP del Paso 7 y una implementaci\u00f3n SNMP personalizada. Los autores implementaron el honeypot dentro del rango de IP de la universidad y observaron intentos de inicio de sesi\u00f3n SSH, escaneo y ping. Se puede ver que la capacidad de interacci\u00f3n est\u00e1 aumentando gradualmente desde la simulaci\u00f3n del protocolo ICS al entorno ICS.<\/li>\n<\/ul>\n<\/div>\n
Con el desarrollo de la tecnolog\u00eda de ciberseguridad, el enga\u00f1o se ha aplicado en diversas circunstancias, como la web, las bases de datos, las aplicaciones m\u00f3viles y la IoT. La tecnolog\u00eda de enga\u00f1o se ha incorporado en algunas aplicaciones de ICS honeypot en el campo de OT. Por ejemplo, los honeypots de ICS como Conpot, XPOT y CryPLH pueden simular Modbus, S7, IEC-104, DNP3 y otros protocolos.<\/p>\n
En consecuencia, la tecnolog\u00eda de enga\u00f1o, como las aplicaciones trampa mencionadas anteriormente, puede compensar la baja eficiencia de los sistemas de detecci\u00f3n de amenazas desconocidas y puede desempe\u00f1ar un papel importante para garantizar la seguridad de las redes de control industrial. Estas aplicaciones pueden ayudar a detectar ataques cibern\u00e9ticos en los sistemas de control industrial y mostrar una tendencia general de riesgo. Las vulnerabilidades reales de OT explotadas por los atacantes pueden capturarse y enviarse al analista de seguridad, lo que lleva a parches e inteligencia oportunos. Adem\u00e1s de esto, es posible recibir una alerta r\u00e1pida, por ejemplo, antes de que se produzca un ataque de ransomware y evitar p\u00e9rdidas masivas y una parada en la producci\u00f3n.<\/p>\n
Desaf\u00edos<\/strong><\/h2>\nSin embargo, esto no es una ‘bala de plata’. En comparaci\u00f3n con el enga\u00f1o sofisticado disponible en la seguridad de TI tradicional, el enga\u00f1o en ICS a\u00fan enfrenta algunos desaf\u00edos. <\/p>\n
En primer lugar, existen numerosos tipos de dispositivos de control industrial, as\u00ed como protocolos, y muchos protocolos son propietarios. Es casi imposible tener una tecnolog\u00eda de enga\u00f1o que se pueda aplicar a todos los dispositivos de control industrial. Por lo tanto, los honeypots y otras aplicaciones a menudo deben personalizarse para la emulaci\u00f3n de diferentes protocolos, lo que genera un umbral relativamente alto para la implementaci\u00f3n en algunos entornos.<\/p>\n
El segundo problema es que los honeypots de control industrial virtual puro todav\u00eda tienen capacidades de simulaci\u00f3n limitadas, lo que los hace susceptibles a la identificaci\u00f3n de piratas inform\u00e1ticos. El desarrollo y la aplicaci\u00f3n actuales de honeypots ICS puramente virtuales solo permiten la simulaci\u00f3n subyacente de protocolos de control industrial, y la mayor\u00eda de ellos han sido de c\u00f3digo abierto, f\u00e1ciles de encontrar por motores de b\u00fasqueda como Shodan o Zoomeye. La recopilaci\u00f3n de datos de ataque adecuados y la mejora de las capacidades de simulaci\u00f3n de los honeypots de ICS sigue siendo un desaf\u00edo para los investigadores de seguridad.<\/p>\n
Por \u00faltimo, pero no menos importante, los honeypots de control industrial de alta interacci\u00f3n consumen recursos considerables y tienen altos costos de mantenimiento. Aparentemente, los honeypots a menudo requieren la introducci\u00f3n de sistemas o equipos f\u00edsicos para construir un entorno de simulaci\u00f3n de ejecuci\u00f3n real. Sin embargo, los sistemas y equipos de control industrial son costosos, dif\u00edciles de reutilizar y dif\u00edciles de mantener. Incluso los dispositivos ICS aparentemente similares a menudo son notablemente diversos en t\u00e9rminos de funcionalidad, protocolos e instrucciones.<\/p>\n
\u00bfVale la pena?<\/strong><\/h2>\nSeg\u00fan la discusi\u00f3n anterior, la tecnolog\u00eda de enga\u00f1o para ICS debe considerarse para la integraci\u00f3n con la nueva tecnolog\u00eda. La capacidad de simular e interactuar con un entorno simulado fortalece la tecnolog\u00eda de defensa. Adem\u00e1s, el registro de ataques capturado por la aplicaci\u00f3n de enga\u00f1o es de gran valor. Analizado a trav\u00e9s de herramientas de IA o Big data, ayuda a obtener una comprensi\u00f3n profunda de la inteligencia de campo de ICS.<\/p>\n
En resumen, la tecnolog\u00eda de enga\u00f1o juega un papel vital en el r\u00e1pido desarrollo de la seguridad de la red ICS y mejora la inteligencia y la capacidad de defensa. Sin embargo, la tecnolog\u00eda a\u00fan enfrenta desaf\u00edos y necesita un gran avance.<\/p>\n
Si est\u00e1 interesado en obtener m\u00e1s informaci\u00f3n sobre lo que los ocupados investigadores de Orange Cyberdefense han investigado este a\u00f1o, puede pasar a la p\u00e1gina de inicio de su recientemente publicado Navegador de seguridad<\/b><\/a>.<\/p>\nNota: <\/b>Esta pieza perspicaz ha sido elaborada por expertos por Thomas Zhang, analista de seguridad en Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n
Descubre lo \u00faltimo en ciberseguridad con integrales\u201dNavegador de seguridad 2023<\/a><\/b>” informe. Este informe basado en la investigaci\u00f3n se basa 100% en informaci\u00f3n de primera mano de 17 SOC globales y 13 CyberSOC de Orange Cyberdefense, CERT, Epidemiology Labs y World Watch y proporciona una gran cantidad de informaci\u00f3n valiosa y perspectivas sobre el presente y el futuro. panorama de amenazas.<\/p>\n<\/div>\n Con algunas aplicaciones enga\u00f1osas, por ejemplo, los honeypots, el entorno operativo y la configuraci\u00f3n se pueden simular, lo que atrae al atacante para que penetre en el objetivo falso. De esta forma, los defensores podr\u00e1n tomar las cargas \u00fatiles que los atacantes arrojan y obtener informaci\u00f3n sobre los hosts del atacante o incluso el navegador web mediante JavaScript en las aplicaciones web. Adem\u00e1s, es posible conocer las cuentas de redes sociales del atacante mediante el secuestro de JSONP y contrarrestar al atacante a trav\u00e9s de ‘archivos de miel’. Se puede predecir que la tecnolog\u00eda del enga\u00f1o ser\u00e1 m\u00e1s madura y se utilizar\u00e1 m\u00e1s ampliamente en los pr\u00f3ximos a\u00f1os.<\/p>\n Recientemente, la integraci\u00f3n de la tecnolog\u00eda de la informaci\u00f3n y la producci\u00f3n industrial se ha acelerado con el r\u00e1pido desarrollo de Internet industrial y la fabricaci\u00f3n inteligente. La conexi\u00f3n de redes y equipos industriales masivos a la tecnolog\u00eda de TI conducir\u00e1 inevitablemente a un aumento de los riesgos de seguridad en este campo.<\/p>\n Los incidentes de seguridad frecuentes, como ransomware, violaciones de datos y amenazas persistentes avanzadas, afectan gravemente la producci\u00f3n y las operaciones comerciales de las empresas industriales y amenazan la seguridad de la sociedad digital. Por lo general, estos sistemas son propensos a ser d\u00e9biles y ser explotados f\u00e1cilmente por el atacante debido a su arquitectura simple, que utiliza poca potencia de procesamiento y memoria. Es un desaf\u00edo proteger ICS de actividades maliciosas, ya que es poco probable que los componentes de ICS reciban actualizaciones o parches debido a su arquitectura simple. Por lo general, tampoco es posible instalar agentes de protecci\u00f3n de puntos finales. Teniendo en cuenta estos desaf\u00edos, el enga\u00f1o puede ser una parte esencial del enfoque de seguridad.<\/p>\n Con el desarrollo de la tecnolog\u00eda de ciberseguridad, el enga\u00f1o se ha aplicado en diversas circunstancias, como la web, las bases de datos, las aplicaciones m\u00f3viles y la IoT. La tecnolog\u00eda de enga\u00f1o se ha incorporado en algunas aplicaciones de ICS honeypot en el campo de OT. Por ejemplo, los honeypots de ICS como Conpot, XPOT y CryPLH pueden simular Modbus, S7, IEC-104, DNP3 y otros protocolos.<\/p>\n En consecuencia, la tecnolog\u00eda de enga\u00f1o, como las aplicaciones trampa mencionadas anteriormente, puede compensar la baja eficiencia de los sistemas de detecci\u00f3n de amenazas desconocidas y puede desempe\u00f1ar un papel importante para garantizar la seguridad de las redes de control industrial. Estas aplicaciones pueden ayudar a detectar ataques cibern\u00e9ticos en los sistemas de control industrial y mostrar una tendencia general de riesgo. Las vulnerabilidades reales de OT explotadas por los atacantes pueden capturarse y enviarse al analista de seguridad, lo que lleva a parches e inteligencia oportunos. Adem\u00e1s de esto, es posible recibir una alerta r\u00e1pida, por ejemplo, antes de que se produzca un ataque de ransomware y evitar p\u00e9rdidas masivas y una parada en la producci\u00f3n.<\/p>\n Sin embargo, esto no es una ‘bala de plata’. En comparaci\u00f3n con el enga\u00f1o sofisticado disponible en la seguridad de TI tradicional, el enga\u00f1o en ICS a\u00fan enfrenta algunos desaf\u00edos. <\/p>\n En primer lugar, existen numerosos tipos de dispositivos de control industrial, as\u00ed como protocolos, y muchos protocolos son propietarios. Es casi imposible tener una tecnolog\u00eda de enga\u00f1o que se pueda aplicar a todos los dispositivos de control industrial. Por lo tanto, los honeypots y otras aplicaciones a menudo deben personalizarse para la emulaci\u00f3n de diferentes protocolos, lo que genera un umbral relativamente alto para la implementaci\u00f3n en algunos entornos.<\/p>\n El segundo problema es que los honeypots de control industrial virtual puro todav\u00eda tienen capacidades de simulaci\u00f3n limitadas, lo que los hace susceptibles a la identificaci\u00f3n de piratas inform\u00e1ticos. El desarrollo y la aplicaci\u00f3n actuales de honeypots ICS puramente virtuales solo permiten la simulaci\u00f3n subyacente de protocolos de control industrial, y la mayor\u00eda de ellos han sido de c\u00f3digo abierto, f\u00e1ciles de encontrar por motores de b\u00fasqueda como Shodan o Zoomeye. La recopilaci\u00f3n de datos de ataque adecuados y la mejora de las capacidades de simulaci\u00f3n de los honeypots de ICS sigue siendo un desaf\u00edo para los investigadores de seguridad.<\/p>\n Por \u00faltimo, pero no menos importante, los honeypots de control industrial de alta interacci\u00f3n consumen recursos considerables y tienen altos costos de mantenimiento. Aparentemente, los honeypots a menudo requieren la introducci\u00f3n de sistemas o equipos f\u00edsicos para construir un entorno de simulaci\u00f3n de ejecuci\u00f3n real. Sin embargo, los sistemas y equipos de control industrial son costosos, dif\u00edciles de reutilizar y dif\u00edciles de mantener. Incluso los dispositivos ICS aparentemente similares a menudo son notablemente diversos en t\u00e9rminos de funcionalidad, protocolos e instrucciones.<\/p>\n Seg\u00fan la discusi\u00f3n anterior, la tecnolog\u00eda de enga\u00f1o para ICS debe considerarse para la integraci\u00f3n con la nueva tecnolog\u00eda. La capacidad de simular e interactuar con un entorno simulado fortalece la tecnolog\u00eda de defensa. Adem\u00e1s, el registro de ataques capturado por la aplicaci\u00f3n de enga\u00f1o es de gran valor. Analizado a trav\u00e9s de herramientas de IA o Big data, ayuda a obtener una comprensi\u00f3n profunda de la inteligencia de campo de ICS.<\/p>\n En resumen, la tecnolog\u00eda de enga\u00f1o juega un papel vital en el r\u00e1pido desarrollo de la seguridad de la red ICS y mejora la inteligencia y la capacidad de defensa. Sin embargo, la tecnolog\u00eda a\u00fan enfrenta desaf\u00edos y necesita un gran avance.<\/p>\n Si est\u00e1 interesado en obtener m\u00e1s informaci\u00f3n sobre lo que los ocupados investigadores de Orange Cyberdefense han investigado este a\u00f1o, puede pasar a la p\u00e1gina de inicio de su recientemente publicado Navegador de seguridad<\/b><\/a>.<\/p>\n Nota: <\/b>Esta pieza perspicaz ha sido elaborada por expertos por Thomas Zhang, analista de seguridad en Orange Cyberdefense.<\/i><\/p>\n <\/p>\nProducci\u00f3n en riesgo<\/strong><\/h2>\n
\n
Desaf\u00edos<\/strong><\/h2>\n
\u00bfVale la pena?<\/strong><\/h2>\n