Inteligencia artificial Generativa, Ransomware o la explotación de vulnerabilidades conocidas van a ser parte de las tendencias de ciberseguridad en infraestructuras críticas, y no de la misma manera que en entornos IT por lo que merece la pena dedicarle una atención específica.
Llevamos ya meses leyendo todo tipo de predicciones para 2024, y lo cierto es que llevamos ya unas cuantas semanas en las que algunas tendencias se consolidan y quizás otras estén por aparecer.
Entre las tendencias que se consolidan destaca, sin duda, la Inteligencia Artificial Generativa. Su uso se está multiplicando y merece la pena comentar los aspectos que más impactan en las infraestructuras críticas.
Ciberseguridad – Infraestructura Crítica
• Adopción: Todos los entornos de analítica de datos la están empezando a explotar, búsqueda de patrones, sugerencias de filtrado, referencias etc. Los sistemas de predicción de la demanda, de ajuste de energías renovables encuentran en la IAG un nicho valioso.
• Prohibición: A pesar de su crecimiento, también se observa un movimiento contrario como en los entornos donde la percepción del riesgo por exfiltración de información crítica está llevando a bloquear el acceso a esta tecnología por todos los medios posibles.
• Explotación: Merece especial atención los informes de predicción de amenazas de Fortinet y de Google por cómo están observando que son los grupos de extorsión los primeros en integrar de manera masiva las capacidades de la IA a la hora de generar ciberataques. Apoyándose en las crecientes capacidades de sus respectivos arsenales, se prevé que aumente la sofisticación de sus actividades. Lanzarán ataques más selectivos y sigilosos diseñados para eludir los controles de seguridad más estrictos, se enmascararán en operaciones más ruidosas que distraigan a los defensores y se volverán más ágiles al hacer más eficiente cada táctica del ciclo de ataque.
• Proliferación: En línea con lo anterior, las APTs y, especialmente, las plataformas de Crimen como Servicio (CaaS) podrán multiplicar sus capacidades mediante el intercambio de información entre ellas. De esta manera lograrán mejorar y ampliar las capacidades en cada una de las fases de los ataques y, una vez más, apoyarse en la IA para mejorar la aplicación de TTPs según los entornos objetivo. Nos referimos, por lo tanto, a aprovechar payloads contra vulnerabilidades conocidas, pero diseminadas a escala y combinadas con nuevas capacidades con las que testear Zero-Days.
• Reacción: Los SOC se deben preparar para hacer frente a las tácticas mejoradas de los ciberatacantes gracias a la IA y eso solo va a ser posible recurriendo también a esta misma tecnología. Gracias a ella, mejorarán su capacidad para caracterizar mejor los ataques y los atacantes, pasar de los IOCs a los TTPs y reconocer patrones en base a estos con los que conseguir distinguir ataques masivos y sintéticos de ataques sigilosos y dirigidos escondidos entre los anteriores.
Por otro lado, entornos como la electricidad y el Oil&Gas están viviendo una enorme transformación.
En el entorno eléctrico a nadie se le escapa la influencia actual de las energías renovables y el despliegue, ahora sí, de puntos de recarga para vehículo eléctrico.
Ambos entornos parten de paradigmas totalmente distintos a los tradicionales tales como la operación remota, variabilidad de generación y consumos, utilización de infraestructuras de comunicaciones compartidas, conexión continua a fabricantes o la exposición a entornos cloud. Y este cambio de paradigma obligará a pensar, no solo en su impacto en la infraestructura tradicional, sino el impacto agregado de las ciberamenazas a estos vectores y su nuevo peso en el ecosistema.
El entorno Oil&Gas no es menos, la descarbonización, directa o a través de la movilidad, también la está transformando y el nuevo protagonista promete llamarse Hidrógeno. Las inversiones anunciadas son enormes, los plazos muy exigentes y estará por ver si la construcción de las nuevas plantas no adopta prácticas de comisionado de sistemas en remoto, iniciados con la pandemia. Por otro lado, queda pendiente confirmar el éxito del blending (uso de gasoductos tanto para hidrógeno como para gas natural) y, por tanto, si la operación del sistema gasístico sufre también una transformación en su operación.
Por tanto, sistemas que cambian su forma de operar, que se altera su exposición a otros actores y, teniendo en cuenta lo comentado anteriormente con la IA, planteamos las siguientes predicciones:
El ransomware va a ir en alza, seguramente precedido de brechas que iremos conociendo contra las que cada vez podremos correlacionar mejor esos ataques futuros en base a la información exfiltrada de las víctimas.
Por otro lado, la explotación de vulnerabilidades conocidas, especialmente de sistemas no-Windows, sobre equipos de acceso -generalmente no etiquetados como críticos-, podrá lograr que ataques no dirigidos se puedan convertir en amenaza para el sector. Es una situación que ya hemos visto, concretamente en Dinamarca, donde un gran número de plantas eólicas sufrieron disrupción por explotación de routers sin parchear (y con parche disponible), sin que fuera un ataque dirigido como se pudo comprobar posteriormente por la evaluación del impacto del ataque en toda Europa a equipos del mismo fabricante.
Por último, un deseo más que una predicción, es que el parcheo de sistemas -más allá de las infraestructuras estación servidor- sea una prioridad y se aborde en todos los sentidos, desde la mejora de las prácticas de parcheo, la adopción de metodologías de priorización a la mejora de las infraestructuras que permitan un parcheo más ágil, sin impacto a la operación.