El desarrollo del concepto Industria 4.0 tiene en las estrategias de convergencia de los entornos IT y OT una de las claves para alcanzar mayores niveles de eficiencia en la producción. Lamentablemente, este proceso de integración conlleva que las amenazas que sobrevuelan sobre el ámbito IT se trasladen al mundo OT.
Últimamente, se observa un incremento en la actividad que los actores maliciosos dirigen contra activos del entorno OT, a través de amenazas que incluyen malware, ransomware y botnets.
La investigación de esta actividad potencialmente maliciosa en el ámbito OT se ha venido realizando con técnicas específicas para los entornos afectados. Esta dispersión de metodologías generaba un gran esfuerzo a los equipos de analistas en la realización de cada investigación.
Afortunadamente, para hacer frente a estas amenazas, se ha conseguido trasladar desde el ámbito IT las metodologías de investigación que, con tanto éxito, se han desarrollado allí. Así, marcos como el del MITRE ATT&CK, que define tácticas, técnicas y procedimientos (conocidas como TTP) para acelerar la respuesta a las amenazas, fue replicado y adaptado en el año 2020 para identificar las tácticas y técnicas que los actores maliciosos utilizan para atacar los sistemas de control industrial (ICS).
¿Qué es MITRE ATT&CK?
MITRE ATT&CK son las siglas de MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). El MITRE ATT&CK Framework for ICS clasifica la actividad maliciosa en una matriz que recopila 12 tácticas dentro de las cuales hay alrededor de 90 técnicas distintas. Ambas están identificadas con un ID (TA para las tácticas y T para las técnicas) y con la fecha de su creación y de su última modificación.
Fuente: https://attack.mitre.org/tactics/TA0108/
Como se puede observar en la matriz, las tácticas recorren toda la cadena de un ataque, desde el acceso inicial hasta el impacto. El formato en el que se presenta la matriz permite entender de forma muy sencilla la relación entre unas y otras.
Fuente: https://attack.mitre.org/matrices/ics/
En la descripción de cada técnica se incorpora información precisa que resulta muy útil para la identificación de las amenazas y, también, para ayudar a las organizaciones a detectar fallos en la seguridad de la infraestructura OT y priorizar su mitigación en base a su nivel de riesgo:
- Uso que los actores maliciosos puede hacer de la técnica
- Algunos ejemplos de procedimientos de ejecución
- Medidas de mitigación específicas y mecanismos de detección.
Fuente: https://attack.mitre.org/techniques/T0807/
Así mismo, entre la información aportada en cada técnica, encontraremos referencias a las posibles plataformas en las que el actor malicioso podría ejecutarlas. Así, si accedemos a la técnica “Interfaz línea de comandos” (T0807), perteneciente al grupo de las tácticas de “Ejecución” (T0104) vemos que puede ser ejecutada en estos activos:
- Servidores de control
- Historiadores de datos
- Controladores de campo (RTU, PLC…)
- Interfaz hombre-máquina,
- Servidores de entrada/salida
En cuanto a los procedimientos, éstos se revelan como un instrumento muy útil para conocer cómo se pueden utilizar las técnicas. Incluso, pueden servir para simular escenarios que repliquen su presencia y obtener, así, información que ayude a la detección en situaciones reales.
Las herramientas de monitorización y detección de amenazas se apoyan en estos marcos para asociar de forma inmediata el comportamiento malicioso con las técnicas en la cadena de ataque. De esta forma, los analistas del Centro de Operaciones de Seguridad (SOC) obtienen rápidamente información precisa sobre los comportamientos detectados. El tiempo dedicado a la investigación se reduce drásticamente. Si tenemos en cuenta que muchos de estos sistemas de control industrial operan en infraestructuras críticas o de gran dependencia para la actividad diaria de las personas, la agilidad en la respuesta a la amenaza resulta muy relevante para evitar daños que podrían afectar, incluso, a la vida de éstas.
La utilización de marcos como el MITRE ATT&CK ICS no sólo son útiles para los equipos encargados de la ciberdefensa, sino que, además, pueden servir de referencia a las organizaciones para definir la estrategia de seguridad a aplicar en los entornos OT, ya que facilita la evaluación de las defensas implementadas, la identificación de posibles debilidades y permite valorar medidas orientadas a robustecer la protección del entorno.
Alrededor del MITRE ATT&CK han surgido proyectos que han facilitado la generación de mapeos entre distintos estándares normativos y este marco de referencia. Gracias a estas iniciativas se evita que los encargados de la seguridad de los sistemas de control industrial tengan que dedicar tiempo a realizar sus propios mapeos, lo que favorece que puedan enfocar su tiempo y recursos a mitigar las amenazas.
En el camino hacia la convergencia de los entornos IT y OT se debería incluir la convergencia de la gestión de la ciberseguridad en ambos lados, de forma que ésta se abordarse de forma global, apoyándose en herramientas que incorporen estos marcos de referencia para la detección de amenazas.
El SOC de Global Technology cuenta con herramientas avanzadas para la detección de amenazas en entornos IT y OT que incorporan los correspondientes marcos del MITRE ATT&CK. Las herramientas utilizadas en entornos OT son capaces de abordar la monitorización de los dispositivos de forma pasiva, sin necesidad de desplegar agentes, lo cual se revela como un método ágil, nada invasivo y muy eficiente.
Responsable de SOC en Global Technology