Vulnerabilidad “Zero Day” y acciones para reducir el impacto

Vulnerabilidad “Zero Day” y acciones para reducir el impacto

Vulnerabilidad “Zero Day” y acciones para reducir el impacto 1000 667 Centro de Ciberseguridad Industrial

El incremento de amenazas a los sistemas de control y automatización industrial crecen a gran velocidad. Estas afectan a fallos de seguridad o vulnerabilidades que los fabricantes de equipos y sistemas, o desarrolladores de aplicaciones de control y automatización descubren y, rápidamente aplican una actualización o parche para resolverlo.

Ahora bien, existen amenazas que explotan vulnerabilidades no identificadas por los fabricantes.  Hablamos de los ataques y vulnerabilidades de día cero o Zero day 

¿Qué es una vulnerabilidad “Zero Day”?

En algunos casos, la vulnerabilidad es descubierta por el atacante (ciberdelincuente) antes que el desarrollador y se aprovecha de ella sin que éstos ni los usuarios sean conscientes del riesgo a que se enfrentan, y por tanto,  sin disponer de actualizaciones o parches que lo solucionen.  Esto es lo que se conoce como una vulnerabilidad de día cero o Zero Day.

La principal amenaza reside en que, hasta que se lanza dicho parche correctivo y se instala en los equipos, sistemas y aplicaciones, los atacantes tienen vía libre para explotar la vulnerabilidad y aprovecharse del fallo de seguridad. A estos ataques, se les denomina ataques de día  cero o Zero day attack. 

El método utilizado por los atacantes para comprometer un sistema con una vulnerabilidad no identificada anteriormente se denomina exploit de día cero o Zero day exploit

Desde que el atacante descubre la vulnerabilidad, hasta que el fabricante o desarrollador identifique una actualización o parche para resolverla, el ciberdelincuente ha tenido tiempo para comprometer la seguridad del sistema, instalando malware, robar información,  modificar el comportamiento de la aplicación e incluso configurar un acceso remoto a los sistemas de control del proceso productivo.

Los atacantes pueden ser que actúen por cuenta propia para satisfacción personal y hacer virales los ataques que realizan o ser contratados por organizaciones empresariales para interferir en los procesos de producción de la competencia e incluso  grupos políticos o  países para obtener información y  atacar las infraestructuras críticas de un país 

La detección de la vulnerabilidad no se descubre de inmediato, y pueden pasar días, semanas e incluso años hasta que se descubren las consecuencias de los ciberataques.

Una vez que tu empresa se entere de que un hacker ha puesto en peligro tu sistema, tendrás que averiguar dónde está la vulnerabilidad, lo que podría llevar un tiempo localizar y parchear el agujero de seguridad.

Un ejemplo de ataque o exploit de día cero en el entorno industrial fue Stuxnet. Se descubrió por primera vez en 2010.

 Este gusano informático malicioso afectó,  gracias a las vulnerabilidades del software de los controladores lógicos programables (PLCs) Siemens Step7,  a las aplicaciones que se ejecutaban en dichos controladores, provocando la ejecución de comandos aleatorios y afectando a los equipos industriales en los procesos de enriquecimiento  de uranio de las plantas industriales de Irán. El objetivo era interrumpir  el programa nuclear del país. 

 

¿Cómo puedo identificar un ataque  de “Zero day”?

Como cada ataque “Zero Day”  funciona de forma diferente, no es fácil detectarlos, sin embargo hay maneras comunes de que las organizaciones identifiquen los ataques. Algunas de ellas son:

Escaneo de Vulnerabilidades

Es el proceso de búsqueda de vulnerabilidades en los sistemas. Una vez encontradas, trabajar para su parcheo antes de que los atacantes puedan explotarlas, con los parches de seguridad que se han identificado y validado por los proveedores para su instalación.  

La exploración de vulnerabilidades debe ser una actividad tanto en el desarrollo de los productos y aplicaciones como en el uso de los mismos.

Se recomienda realizar escaneo de vulnerabilidades utilizando métodos específicos y adaptados  de los propiamente diseñados para las IT, con el objeto de que  su aplicación en  entornos OT, no sean perjudiciales ni afecten al comportamiento de los sistemas industriales de control y automatización, por lo que se recomienda se utilicen en entornos de pruebas o pre-producción 

Gestión de accesos de los usuarios a los sistemas y aplicaciones

Los usuarios interactúan con los sistemas y pueden ser los primeros en detectar problemas potenciales.  Un seguimiento de informes de las acciones de los usuarios en los logs de los sistemas, con el objetivo de detectar intentos de acceso no permitidos, acciones no autorizadas o modificaciones en el sistemas son buenas prácticas.

Supervisión del comportamiento de la red

Cuando un atacante  accede a un sistema a través de un malware, se incrementa el tráfico de red, y puede ralentizar  a veces los tiempos de conexión a los sistemas. Por eso, si se vigila la velocidad de la red, se podrá identificar un ataque en el momento en que se produzca.

Una monitorización en tiempo real del tráfico de red, acompañado de un aprendizaje automático del uso de la misma para detectar datos de exploits registrados previamente con el fin de fijar una base para un comportamiento seguro del sistema a partir de los datos de interacciones actuales y anteriores, es una herramienta que puede  ayudar  en la identificación proactiva y detección de un posible ataque.

Vigilar el rendimiento de las aplicaciones

Para reducir la superficie de exposición y reducir el riesgo en la red y en los activos, utilizar solo aquellas aplicaciones esenciales y necesarias. 

A pesar de ello, cuando alguien consigue acceder a tu sistema a través de una vulnerabilidad de alguna de las aplicaciones instaladas, el código que inyecta en tu software podría ralentizar tu programa, alterar sus funciones o desconectar características, por lo que se puede identificar un ataque “Zero day” si observamos cambios significativos o inexplicables en tu sistema.

Estar atento a los ciberataques que se reportan

Buscar informes de ciberataques significativos y comprobar si tu organización puede verse afectada. Para sacar el máximo provecho de ello, analiza las noticias a diario  a la que tienes acceso, para comprobar si hay nuevos ataques a organizaciones de tu sector. 

Aunque los ataques y vulnerabilidades de “Zero day” son nuevos y desconocidos, por lo que la información a la que puedas acceder sobre ellos es limitada, lee los detalles de los ataques recientes y verifica que tus sistemas y aplicaciones si podrían resistirlo.

¿Cómo puedo protegerme de un ataque de “Zero day”?

Además de las acciones de mitigación ya conocidas como mantener siempre actualizado el software para reducir las vulnerabilidades, utilizar un software antivirus fiable que detecte y bloquee amenazas, controlar el acceso a los dispositivos y  disponer de una segmentación segura de las redes, no podemos olvidar a las personas.

 Muchos ataques de “Zero day”  se aprovechan de los errores humanos. El hecho de inculcar buenas prácticas de seguridad a los empleados y a los usuarios los mantendrá a salvo en la red y protegerá a las organizaciones frente a los exploits de día cero y otras amenazas digitales.

Formación y concienciación de los riesgos cibernéticos en el entorno industrial a los empleados de las organizaciones ayuda a que ellos sean el primer cortafuegos  ante la existencia de un ataque.

También es un hecho que a pesar de las medidas que implantemos, siempre existe el riesgo de que ocurra un incidente de ciberseguridad. Por ello, debemos preparar un plan de acción de respuesta de incidentes,   que nos indique cómo actuar de la manera más eficaz posible en estos casos. 

El plan de respuesta a incidentes es un conjunto de instrucciones para ayudar a las personas de la organización a detectar, responder y recuperarse de incidentes de ciberseguridad que afecten a los activos y redes industriales.

Debe contar con una preparación, que documente las políticas de la organización de cómo actuar ante incidentes cibernéticos; una monitorización de eventos de seguridad para detectar, alertar e informar sobre posibles incidentes, así como una estrategia de contención y neutralización del ataque en caso de que se produzca. 

Ya que los ataques de “Zero day” son tan impredecibles, no hay manera de lograr una protección total. Poner en práctica  acciones como las descritas , ayudarán a identificar potenciales amenazas, reducir riesgos y estar preparados por si se produce el incidente  

El análisis de las amenazas de «Zero day» y acciones para evitarlas, deben considerarse en la implementación de un sistema de gestión de ciberseguridad industrial (SGCI) en las organizaciones.

Contar con la formación específica será clave para ejecutar dicha acción con éxito.
 
No dejes de inscribirte en la próxima edición del T04. Taller de Aplicación de un Sistema de Gestión de la Ciberseguridad industrial. Una oportunidad única para adentrarse en estos aspectos y profundidad en las amenazas «Zero Day». 
Una oportunidad única para, de mano de expertos profesionales en activo, descubrir las herramientas fundamentales para aprender a  desarrollar, implementar y mantener un SGCI
 

 

AUTOR:

Antonio Rodríguez Usallán

https://www.linkedin.com/in/antonio-rodriguez-usallan-66407613/

Experto Ciberseguridad Industrial

Profesor de la Escuela CCI

Ecosistema para avanzar juntos en Ciberseguridad Industrial
Networking | Conocimiento | Experiencias