Inicio / Blog / Lista de la compra para actuación frente a ciberincidentes: gestión y resiliencia

Lista de la compra para actuación frente a ciberincidentes: gestión y resiliencia

Publicado el 20/09/2018, por INCIBE
Lista de la compra para actuación frente a ciberincidentes: gestión y resiliencia

Introducción

Los Sistemas de Control Industrial (SCI) presentan numerosos riesgos de sufrir ataques cibernéticos que pueden afectar severamente al proceso industrial al que dan servicio, pudiendo finalmente provocar impactos económicos y sociales muy importantes. Además, durante los últimos años, el número de ciberincidentes producidos en instalaciones del entorno industrial ha ido incrementándose de manera relevante, por tanto, se hace necesario disponer de planes de gestión de ciberincidentes y estrategias de ciberresiliencia eficaces.

Plan de gestión de ciberincidentes

Su principal objetivo es dar una adecuada respuesta a los incidentes producidos en la organización teniendo en cuenta sus objetivos, funciones, tamaño y estructura. Para ello, debe determinar y asegurar que se disponen de los recursos humanos y materiales necesarios, así como contar con el apoyo por parte de la Dirección.

La gestión consta de varias fases, como se indica en la guía de “Identificación y Reporte de Incidentes de Seguridad” de INCIBE:

  • Identificación: identificar el incidente, determinar su alcance y sistemas afectados, a partir de la obtención de indicios de múltiples mecanismo (alertas de SIEM, consola antivirus, sistemas IDS/IPS, registros de conexiones bloqueadas en cortafuegos, registros de conexiones en proxys, registros de herramientas DLP, anomalías de tráfico, etc.).
  • Contención y mitigación: una vez identificado el incidente es esencial definir la extensión, el tipo de equipos afectados y buscar las características comunes para poder aislar dicho incidente.
  • Fugas de información y adquisición de evidencias: para evitarlas es clave identificar cuál es el vector de la fuga y adoptar sobre él medidas técnicas adecuadas que limiten su explotación (p.ej. restringir el acceso a carpetas compartidas, deshabilitar sistemas de almacenamiento portátil como USB, bloqueo de URL o de emails, etc.). También, se deben cuantificar las repercusiones de esa fuga, además de preservar las evidencias para el análisis forense del mismo.
  • Recuperación: una vez hechas las fases anteriores, hay que proceder a la restauración de los sistemas afectados, p.ej. a partir de copias de seguridad anteriores al incidente.
  • Documentación: es muy importante documentar las lecciones aprendidas durante la gestión para que ayude a evitar o solucionar futuros incidentes. Debe ser detallada, incluyendo las herramientas usadas, investigaciones realizadas y sus resultados, colaboraciones que se necesitaron, línea temporal de acciones, etc. 

Plan de ciberresiliencia frente a ciberincidentes

Tal y como se ha definido en otros artículos, la ciberresiliencia es la capacidad de anticipar, resistir, recuperarse y evolucionar para sobreponerse a condiciones adversas, como los ataques, contra los recursos de información o tecnológicos. Se trata de la estrategia que deben seguir las organizaciones para hacer frente a una mayor explotación de sus sistemas de información y operación, así como al aumento de los ciberataques producidos a nivel mundial.

Conocer su estado es el primer paso para mejorar la protección de las organizaciones, para ello, se están incorporando Indicadores para la Mejora de la Ciberresiliencia (IMC) para sistemas de control industrial, cuyo objetivo es servir como instrumento de diagnóstico y medición de la capacidad de las organizaciones para soportar y sobreponerse a desastres y perturbaciones procedentes del ámbito digital. Desde INCIBE también proponemos definir y establecer un marco de medición de indicadores destinado a medir la capacidad de las organizaciones ante distintos ataques, amenazas o incidentes.

Las métricas e indicadores de ciberresiliencia están orientados a medir los siguientes objetivos a alcanzar:

  • Anticipar: capacidad de mantener un estado de preparación informado, con la finalidad de evitar que los ciberataques comprometan las funciones de la organización.
  • Resistir: capacidad de continuar con las funciones críticas de la organización tras la ejecución exitosa de un ciberataque.
  • Recuperar: capacidad de restaurar las funciones críticas lo más rápido posible tras un ciberataque ejecutado con éxito. En esta fase se realiza la gestión de ciberincidentes y de la continuidad del servicio.
  • Evolucionar: capacidad de cambiar los objetivos, funciones y capacidades cibernéticas con la finalidad de minimizar el impacto de los ciberataques.

Detección proactiva de ciberincidentes: servicios y herramientas

De cara a facilitar una prevención y detección proactiva existen diferentes herramientas y servicios externos de información en los que apoyarse. A continuación, se detallan las características de los más importantes:

  • Listas maliciosas de nombres de dominio, IP y URL: servicio que identifica nombres de dominio, direcciones IP y URL involucradas en actividades maliciosas, como p.ej. fraude electrónico, propagación de malware, gestión de botnets, servidores de comando y control, etc.
  • Listas negras de spam: identifica dominios, subredes y direcciones IP origen de envíos de emails de spam.
  • Honeypots: simulación un servicio o dispositivo con el objetivo de atraer atacantes y analizar las acciones llevadas a cabo, a partir de esa información identifica infecciones a gran escala, así como tendencias o nuevas amenazas y ataques. 
  • Sandbox: entorno en el cual se puede ejecutar de forma aislada un código o aplicación sospechosa sin afectar al entorno de explotación. Todo el comportamiento (conexiones de red, procesos ejecutados, actividad de ficheros, actividad en el registro, etc.) del software analizado es registrado. A partir de esta información puede deducirse si el software es malicioso o no.
  • Cortafuegos: dispositivo o aplicación diseñado para filtrar (permitir o denegar) tráfico de red. Hoy en día son muy sofisticados pudiendo analizar incluso en capa 7 del modelo OSI (DPI), así como realizar inspección de paquetes con estado. Es recomendable filtrar tráfico saliente y tráfico entrante.
  • WAF (Web application firewall): cortafuegos específico para aplicar reglas de filtrado sobre comunicaciones http. Generalmente son reglas que cubren ataques comunes como XSS e inyecciones SQL.
  • IDS/IPS: dispositivos hardware y/o software que monitorizan y analizan el tráfico de red o el comportamiento del sistema operativo para detectar actividades no autorizadas o maliciosas. Los IDS funcionan en modo pasivo, es decir, detectan amenazas, registran la información y disparan una alerta; sin embargo, los IPS funcionan en modo activo, lo cual les permite bloquear los comportamientos maliciosos detectados. Actualmente, disponen de nuevas funcionalidades orientadas a entornos ICS, como p.ej. detección de amenazas específicas de redes industriales, inspección profunda de protocolos industriales (IEC 61850, IEC-104, ICCP, Modbus, DNP3, etc.); y aprendizaje e identificación automático de activos de red, protocolos y patrones de comunicaciones.
  • Netflow: existen herramientas basadas en este protocolo de nivel 3, el cual permite recolectar, monitorizar y analizar tráfico de red basado en IP. A partir de esa información se pueden identificar potenciales incidentes basados en detección de tráfico anómalo como p.ej. escaneos y denegaciones de servicio.
  • Darknet: la red oscura se usa para monitorizar el tráfico dirigido a direcciones IP no utilizadas, sin ninguna interacción con el resto de tráfico observado. Por defecto, todo tráfico dirigido a direcciones IP no utilizadas es sospechoso. Normalmente, la información obtenida a través de una red oscura dibuja grandes escaneos automatizados, actividades de gusanos, ataques DDoS y dispositivos de red mal configurados. Debido a su naturaleza, el uso está limitado solo a los grandes ISP, redes académicas o grandes empresas.
  • Antivirus/Antimalware: software utilizado para prevenir, detectar y eliminar virus, gusanos y código malicioso de las tecnologías de información y operación. Permite cubrir puestos cliente y servidor, así como tráfico http, e-mail, etc.
  • SIEM (Sistema de gestión de eventos de seguridad): es un sistema que centraliza el almacenamiento y análisis de información relevante de seguridad generada por dispositivos, equipos informáticos y aplicaciones de nuestra infraestructura TI/TO, como p.ej.: registros de sistema/aplicación, bases de datos, proxys, dispositivos de red, RTU, PLC, sistemas SCADA, etc. De esta forma, es posible realizar un análisis de la situación en múltiples ubicaciones desde un punto de vista unificado, lo cual facilita la detección de tendencias y patrones de comportamiento no habituales. La mayoría de los sistemas SIEM funcionan desplegando agentes que recopilan eventos relacionados con la seguridad de los diferentes activos de la organización.
  • DLP: software diseñado para detectar potenciales brechas y filtraciones de datos y prevenirlos a través de monitorización, detección y bloqueo de información sensible mientras está en uso, en movimiento y en reposo. Dicha información puede ser información de propiedad intelectual, información financiera, etc.

Las características particulares de los Sistemas de Control Industrial les convierten en un objetivo suculento ante ciberataques. Con el objetivo de evitarlos, las organizaciones deben tratar de anticiparse a los mismos, aunque no existe la seguridad total y, por tanto, los sistemas deben estar preparados para ser capaces de resistir y recuperarse de estos ataques, por ello es necesario contar de un plan de ciberresiliencia. Asimismo, con el objetivo de tomar decisiones rápidas de las actuaciones a realizar ante un ciberataque, es necesario contar de un procedimiento de gestión de ciberincidentes. El objetivo de ambos procedimientos es avanzar hacia una organización más segura, mejorando su reputación y reduciendo el impacto producido por los ciberataques.