Sirus Powered by Indegy CONVERGENCIA ACCIDENTAL OMT TMi da yale) Tas AUR SEUSS PPT LR foindice La iniciativa de convergencia El argumento del aislamiento de las redes inseguras Convergencia accidental Agentes maliciosos Planificacion anticipada de la seguridad Visibilidad que se extiende més allé de las fronteras tradicionales Analisis situacional a profundidad Reduccién del riesgo cibernetico Seguridad que contribuye al ecosistema de confianza Soluciones que se pueden escalar Convergencia accidental, seguridad intencional e©orrnn ear 10 10La iniciativa de convergencia Las organizaciones industriales y de infraestructura critica actuales dependen, en gran medida, del entorno de tecnologias operativas(TO) para producir sus bienes y servicios, Més alld de las operaciones tradicionales de TI que utilizan servidores, enrutadores, PC y conmutadores, estas organizaciones también dependen de la TO, como los controladores légicos programables (PLC), los sistemas de control distribuido (DCS) y las interfaces hombre-maquina (HMI) para hacer funcionar sus plantas y fabricas fisicas, Si bien los dispositivos de TO estan en uso comercial desde fines de la década de 1960, se ha producido una transformacién completa que cambié la manera en que operamos en el entorno de TO, como interactuamos con dicho entorno y cémo lo aseguramos beneficios: yer sus entomnos de Tly TO, lo que puede aportar m an exentas de riesgos. La convergencia puede producir nuevos vectores nvergente Muchas organizaciones optaron por ha almismo tiempo, estas de y superficies de ataque; esto puede ytengan un avance sigiloso lateral hacia el otro, de la Tl ala TO, yviceversa. jones no est nerar fltractones que se inicien en un lado de la infraestructu Las amenazas que afectan alas operaciones de TO no son las mismas que las que afectan a los entornos de TI. Por lo tanto, las herramientas de seguridad y as politicas operatives que se necesitan son diferentes, La implementacion de las herramientas y politicas carrectas puede permitir aprovecher todas los beneficios de una operacion convergent sin inerementar el pert de exposicion de seguridad de [a organizacion. Es importante que las oranizaciones establezcan tegia planificada cuidad lugar ‘ar la seguridad solo por si avas ente antes de llevar ala practica cualquier iniciativa ds vergencia LUNA GUA PARA,El argumento del aislamiento de las redes inseguras Exploits en entornos aislados de redes inseguras eres nea eeu) eee TE Un eee Ea Meant cise Eee ete) Q wm G&G & & 8 Eno) Pate eT To cd Crear) fisicosConvergencia accidental Aunque elzislamiento de los activos de TO del resto del mundo" se considera, 2 menudo, el esténder de oro pare la seguridad de los entornos de TO, no es infalible. De hecho, muchas organizaciones se dejan llevar fcilmente por ung false sensaci¢n de sequridad, a pesar de que su intrsestructura de TO sislada es de todo menos aisladai y come resultado, es de todo menos segura. LockerGogs Black Energy Wannacry ——Mhrack Lemon Night Dragon Red October Industoyer TitionPetya——DuckEKANS, zo | 20 om | 20% | 202020 5 aon | 2s 2016 2017 2010 sSuamet ‘Shamaon HavexStee op Ghout sShamoons TBA pura Dragonty ‘tac vpnriter ler TALG-O74A) En os ultimos diez afias, cada vez mas incidentes de ataques se han dirigido ¢ la tabricecion ys infraestructurs critica. Entre ellos, hay ejemplos de ataques sofisticados que aprovecharon la convergencia accidenta para 10s son algunos ejemplos: infiltrarse e incursfonar dentra de las organizaciones. E: + En 2010, se us6 un USB para Infectar una instalacién nuclear. Al conectar el USB ala red, este lanzé un ataque yy ajusto [as RPM de las centritugadoras lo suticiente camo oars destruirias. Una parte secundaria del ataque: infecté las HMI para mostrar que las centrifugadoras funcionaban con normalidad. Desde entonces, los USB se utiizan a menudo para vulnerar redes aisledas, incluyendo ataques documentados como Turla MiniDuke, RedOctober, Fanny, Remsec y otras mas. + En 2018, los EE. UU. acusaran 3 Rusis de romper l aislamiente’ infectar innumerables operaciones de [a red de suministro, y de obtener, esencialmente, el acceso a funcionalidades critivas para desactivar las operaciones dela red en el momento en que quisieran. Este fue un punto de inflexién en lo que respecta.a convertir proactivamente un ataque de TO en un arma’, para su uso en una fecha posterior. Estos ataques se conocieron camo Dragantly y Energetic Bear, + En2019, una instalacién nuclear implementé unas PC ultima modelo con sistema operativo Windows en su red de TO, para fines de comando y control, Estas nuevas PC llegaron con una importante vulnerabilidad de seguridad. Apenas unas semanas después, la vulnerabilidad fue explotada, la que acasioné un incidente en os activos de TO que provocd el cierre de emergencia de das de los reactores, La convergencia accidental de los entornos de Tly TO puede acurrir en cualquier momento, Lo que resulta aun mas preocupante, es que se praduce en muchas organizaciones sin su conocimiento y sin consecuencias, debido ala cerzencia errénea de que el aislamiento de las redes insequras es suficiente para evitarla. Después de establecerse Gentro de los activas de Ie organizacitn, estos staques pueden continuar durante semanas e, incluso, meses, hasta ‘que se produzca una falla catastréfica. La seguridad que se creia que existia era una ilusién alejada la realidad. CCONVERGENCIA ACCIDENTAL: UNA GUIA PARA OPERACIONES DE TVTO SEGURASAgentes maliciosos Bae eee Errores involuntarios oso Dispositivos puestos en riesgoPlanificacion anticipada de la seguridad Perala mayoria de las organizaciones industriales, ja necesidad de una seguridad atenta no es nada nuevo. Los vectores de amenaza y los prondsticos de seguridad estan en constante evolucién, dadas las amenazas emergentes. Ls conyergencia de las operaciones de Tly TD, ye sea planiticads 0 no, es en casi todas los casos, uns realidad. El establecimiento de las medidas de proteccion adecuadas ayudard a garantizar la seguridad de las operaciones de su organizacién. Qué deberia considerar? Visibilidad que se extiende mas alla de las fronteras tradicionales Hasta este momento, la seguridad de los activos de Tly de las infraestructuras de TO habitaban mundos completamente diferentes, por lo que la capacidad de ver hacia cualquiera de los dos entomnos se bifurcaba en estas dos lineas. Como se ilustra en este dacumento, las ataques modernos son amarfos y ‘viajan’ a través de las frantaras de seguridad tradicionales de los sctivos de T! y TO sin ningun reoaro. Nuastra capacided gare dar sequimienta estos tioos de rutas de propagacién requiere descompartimentar los parémetros de visibilidad tradicionales. Es esencial poder ‘obtener una vision tinica de los equipos de Tl y TO, junto con las interacciones que se producen entre los dos mundos. La vision de tablero de control nico’, puade ayudar a clarificarlos posibles vectores de ataque y los puntos clagos d= los activos que puedan haber omitide las estrategias de seguridad tradicionales. Analisis situacional a profundidad Independientemente de si hay una iniciativa de convergencia planificada en proceso, es importante reconacer | signiticativa entre los ciclos de vida de Tl y de 70. Mientras que las intraestructuras de Tse actualizan 3s infraestructuras de TO suelen continuar sin cambios durante afias, incluso décadas, dlitere periddicamente, Ciclo de vida de TO: de 10 2 15 afios Ciclo de vida de TI: de 12 2 18 meses 99088888888 Noes raro que una infraestructura de TO sea tan antique como la propia planta. El resultado es que el inventario completo de los actives, junto con los registras de mantenimiento y gestion de cambios, pueden no estar actualizados. Por lo tanto, pueden fatar datos fundamenteles, incluyendo detalles importantes como el numero de modelo, laubicacion, la version del firmware, elnivel de parche, os detalles del plano posterior y otros, Dado que es imaosible proteger los actives que tal contar con un inventario detallado de su infraestructura de TO que pueda actualizarse vez nisiquiera sabe que existe _automsticamente cuando camiien [as condiciones, 2s esencia| pera oroteger sus operaciones industrisles. UNAGUIAPARAG TTO SEGURAReduccion del riesgo cibernético En os entarnos modemas de 10, las amenazas cibernétioas pueden originarse en cualquier luoary viajar todas: partes. Por consiguiente, es importante utilizar la mayor cantidad posible de capacidades y metodologias para encontrar y mitigar el riesgo de expasicion. Esto incluye lo siguiente: + Deteccién basada en redes con: ~ Aprovechamiento de las politicas para utilizar las capacidades de crear y mantener listas blancas y negras. = Deteccién basada en anomalias que pueda encontrar ataques de dla cero y dirigidos, y que se base en comportamientos de referencia Unicos de su organizacién, = Bases de datos de ataques de cédigo abierto, como Suricata, que centralizan la inteligencia de amenazas de la comunidad de seguridad mas amplia. Laides es que cuanto mas se viglle una posible amenaza, la respuesta de seguridad sera mucho mejor. + Dado que la mayoria de los atzques se dirigen los dispositivos y no a las redes, es fundamental utilizar una solucién que realice consultas activas 2 los dispositivos y proporcione seguridad a nivel de estos. Debido a que los protocolos de los dispositivos de TO pueden variar mucho, las veriticaciones de seguridady de estado deben ser \inicas para la marca y el modelo del dispositivo, incluyendo su lenguaje. Estas verificaciones profundas no deben escanear los activas, sino que daben ser precisas en la naturaleza y la frecuencia de las consultas. + En 2019, se dieran a conocer mas de 20 000 vulnerabilidades nuevas, que afectaban a los dispositivos de 70, asi coma también 2 os activos de Tl tradicionales. Sin embargo, menos de [a mitad de estas vulnerablidades tenlan un exploit disponible, Tener un conocimiento completo de las vulnerabilidades que son relevantes para su entorno, junto con una lista jerarquizada de las vulnerabilidades explotables y los activas criticos, le permitiré priorizar las amenazas con lamayor puntuacién de riesgo, y de este modo, se reducira drasticamente su perfilde Cyber Exposure. Seguridad que contribuye al ecosistema de confianza Sibien es importante identificar y apravachar los mejares productos de seguridad para los activos de TI y de TO de su entorno, es alin mas Impartante que los productos funcionen juntos. La antiqua nocién de un abordaje de seguridad or capas y cooperativo, en el que los productos especificos pueden trabajar juntos, crea una capa impermeable: la totalidad de la solucién se vuelve mayor que la suma de sus partes. Un ejemplo de ello es una solucién de seguridad para los actives de TO, que suministra detalles valiososa un sisterna de gestién de informacién y eventos de seguridad|SIEM)o a un firewall de proxima generacton (NGFW), lo que proporcions al ecosisteme de seguridad una vision totalmente nueva e importante de las operaciones industriales. Esto no solo mejora el monitoree y la respuesta de seguridad, sino que también otorga un mayor valor yutiidad practica alas inversiones en seguridad existentes. CCONVERGENCIA ACCIDENTAL: UNA GUIA PARA OPERACIONES DE TVTO SEGURASSoluciones que se pueden escalar (Como se sefala anteriormente, eilina/2 yl abordale de los equipos tradicionsles de Tly TO no podrian ser mas ta polaridad va mucho mas allé de los plazos dal ciclo de vida de los productos. opuestos. Y. Los equipos de Ti suelen regirse por KPI que implican disponibilidad, integridad y canfidencialidad, lo que genera una mentalidad que busce que los activos estén ‘siemgre protegides’. Los equips de TO monitorean las métricas relacionadas con el entomno, la seguridad y la regulacin, lo que da como resultado un abordaje siempre activo: canfigurelo y olvidese” La nacesidad actual de abordar la seguridad eficazmente 2 lo largo de tada la organizacién —no solo en los activos de Tl enlosde TO-, requiere que estas personas con formaciones tan diferentes se unan y encuentren puntos en comun para trabajar como una sola. Oe lo contrario, Ie organizacién quedara con una enorme Cyber Exposure, que, s no se aborda, podr tener cansecuencias inimaginables. Convergencia accidental, seguridad intencional Los equipos de Tly TO deben encontrar puntos en comun, para eliminar los sustanciales factores de riesgo que implica la convergencia TUTO, tanto planificada como accidental. Pera la misién no termina ahi. Las soluciones de seguridad para los actives de TO que trabajan en conjunto con las soluctones de seguridad para los activos de Tl pueden ser el catalizedor que no solo proporcione la visibilidad, la seguridad y el control necesarios para frustrar cibernéticas, sino que también reuna a estos equipos, que antes estaban separados, para brindar la sesita para cumplir nuevas mens seguridad comin que toda organizacién industrial, de manufactura o de infraestructura eritica con su misién principal de manera eficlente y segura.Acerca de Tenable Tenable, Inc. es la compafia de Cyber Exposure. Mas de 30 000 organizaciones de tado el mundo canfian en Tenable para comprender y reducir el riesgo cibernético. Como creador de Nessus®, Tenable extendi6 su conacimiento sobre vulnerabilidades 2 fin de ofrecer la primera plataforma del mundo para ver y proteger los activos digitales en cualquier plataforma de computo. Entre los clientes de Tenable, se encuentran mas del 50 % de las compatiias della lista Fortune 500, mas del 30 % de las comparias de la lista Glabel 2000 y grandes instituciones gubernamentales. Pera obtener més informacién, visite es-la tenable.com, ~\tenable.ot Reco ere aertearaaatieriementne trenarreeb ent rend Pacey EXPOSURE COMPANY SON MARCAS REGISTRADAS DE TENABLE, INC EL RESTO DE LOS PRODUCTOS 0