Si fuera un CISO hace cinco años y medio, es posible que ya tenga un libro de jugadas para aumentar la vigilancia de su equipo de seguridad a raíz de los recientes eventos entre Estados Unidos, Irán e Israel. ¿Por qué? Esta no es la primera vez que el nivel de amenaza, incluidas las amenazas cibernéticas, de Irán se ha intensificado.
En enero de 2020, una huelga de drones estadounidense mató al mayor general iraní Qassem Soleimani, una poderosa figura en Irán. Después de su muerte, los líderes iraníes prometieron venganza, el Departamento de Seguridad Nacional de los Estados Unidos advirtió sobre posibles ataques cibernéticos de Irán en represalia, y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) emitió alertas a las empresas y las agencias gubernamentales de los Estados Unidos para que sean vigilantes por posibles intrusiones cibernéticas y discriones.
Como CISO de Rockwell Automation en ese momento, tomé esta alerta muy en serio y mi equipo trabajó juntos para hacer una lluvia de ideas de un libro de jugadas para esta mayor amenaza. Este blog tiene dos partes. Primero, tengo algunos pensamientos importantes sobre la ciberseguridad en OT en función de mi experiencia en 2020. En segundo lugar, proporciono mis pensamientos sobre las acciones que todos los CISO deberían considerar a la luz de los eventos geopolíticos actuales.
¿Podría su ciberseguridad OT resistir un ataque cibernético impulsado geopolíticamente?
Como CISO, me consuela el hecho de que nuestra solución EDR dependía fuertemente del equipo de inteligencia de amenazas de la compañía y la caza de amenazas, y sabían exactamente cómo se veían las amenazas de Irán. Pero me di cuenta de que no solo teníamos que evaluar y elevar nuestras defensas en ellas, sino que nuestro entorno OT en Rockwell también podría ser un objetivo debido a nuestro papel en la infraestructura crítica. Por lo tanto, decidí comunicarme con algunos líderes en el espacio de seguridad de OT para evaluar si estábamos protegidos adecuadamente en OT. De hecho, esa fue la primera vez que hablé personalmente con Dragos CEO Rob Lee.
Primero, contacté a otro proveedor de plataforma de seguridad de OT y pregunté cómo se adaptó su plataforma para manejar las amenazas de Irán y si estaban haciendo algo específico en respuesta al entorno de amenazas intensos. La respuesta fue alarmante e insatisfactoria: confiaron en la detección de anomalías y no buscaban amenazas específicas: no hacían nada especial en respuesta a la mayor amenaza de Irán y advertencias de DHS/CISA.
Luego me comunicé con Rob Lee y le hice la misma pregunta sobre Dragos. Me impresionó la respuesta, tan impresionado que dos años después elegí venir a Dragos después de retirarme de Rockwell. Rob explicó que el equipo de inteligencia de Dragos está constantemente buscando, rastreando y evaluando amenazas cibernéticas de grupos adversarios específicos. Integran las tácticas, técnicas y procedimientos (TTP) detallados empleados por cada grupo de amenazas en análisis de comportamiento en la plataforma Dragos de manera continua, y sus cazadores de amenazas OT los buscan activamente en entornos de clientes. Esto es lo que quería escuchar. Y puedo decirle en base a la experiencia personal que el equipo de inteligencia de Dragos se ha centrado absolutamente en grupos adversarios vinculados a Irán en las últimas semanas y meses. La velocidad en la que transmiten una nueva inteligencia, realizan cacerías de amenazas e integran nuevos TTP e indicadores de compromiso (COI) en nuestra plataforma son impresionantes para presenciar desde el interior de la empresa.
Por ejemplo, un día la semana pasada:
Aproximadamente a las 2 pm, hora central de EE. UU. (CT), el equipo de inteligencia de Dragos pasó una inteligencia de amenazas emergentes sobre nuevo BAUXITA Capacidades para Dragos OT observan a los cazadores de amenazas.
A las 2:30 pm CT, un Vista mundial de Dragos El producto fue redactado y preparado para su revisión y coordinación.
A las 3:00 pm CT, el borrador del producto Worldview estaba en revisión por pares y se había completado la coordinación de socios apropiada.
A las 4:00 pm CT, Reloj de Dragos OT había ejecutado un barrido del COI, derivado de la inteligencia coordinada, para todos los clientes de OT Watch.
A las 4:30 pm CT, OT Watch había desarrollado una búsqueda de amenazas basada en la consulta para la acción en todos los clientes de OT Watch Daily y el equipo de Intel publicó el informe a los suscriptores de Worldview.
Un plan de acción para CISO
Esto no se entiende como un argumento de venta para Dragos. No soy un vendedor. Soy un ex CISO que entiende las presiones y desafíos que enfrentan los CISO y los equipos de seguridad de todo el mundo frente a eventos geopolíticos como estamos experimentando en este momento, que podrían estar vinculados a regiones específicas pero impactar la ciberseguridad a nivel mundial. Pero puedo decir honestamente que cuando comenzamos nuestro programa de seguridad cibernética de fabricación en Rockwell Automation en 2017, priorizamos una plataforma de seguridad para la visibilidad y el monitoreo en OT. Nos dimos cuenta de que teníamos un alto riesgo de estar ya comprometidos, y con el entorno de amenaza cibernética en ese momento, lo cual no era nada en comparación con ahora, sentimos que era imperativo que tuviéramos visibilidad y monitoreo en nuestras plantas, la misma prioridad que utilizamos en nuestra estrategia de seguridad de TI.
Aconsejo a todos los CISO que intenten obtener los recursos necesarios para una plataforma de seguridad OT si no tiene uno. Pero debería estar haciendo más que eso, así que si esa no es una opción o tomará tiempo, no espere. Estoy ofreciendo este consejo a la luz de los eventos geopolíticos actuales:
Aumente la vigilancia de su equipo de seguridad. Todos sabemos que los principales ataques cibernéticos generalmente ocurren horas fuera, incluidos los fines de semana. Asegúrese de que su equipo de seguridad esté listo para saltar a la acción en cualquier momento.
Recuerda tu entorno OT. Me preocupa la cantidad de organizaciones, especialmente en la fabricación, que tienen programas de seguridad de TI fuertes, pero solo están comenzando a pensar en la seguridad de OT. CISOS: Si su entorno de fabricación se ve interrumpido por un ataque cibernético, los ingresos de la compañía también se interrumpen. Use este entorno de amenaza para solicitar fondos especiales para la seguridad cibernética OT.
Construya un libro de jugadas de TI y OT para amenazas geopolíticas específicas como nos enfrentamos actualmente. Es probable que Irán no sea el único actor estatal que aumentará sus amenazas en las próximas semanas, meses y años. Cada grupo adversario emplea diferentes TTP: concéntrese en Irán en este momento, pero luego considere adversarios adicionales ya que el clima geopolítico está cambiando rápidamente.
Incluya inteligencia de amenaza activa en los libros de jugadas. Es crucial asegurarse de que está recibiendo, priorizando e implementando TTP e IOC específicos en sus plataformas de seguridad, y cazarlos activamente, tanto en TI como en OT.
Considere su cadena de suministro y el resto de su ecosistema. Hacktivists ligados a iraníes (ver Información de Dragos sobre el Grupo de amenazas de bauxita) han dirigido pequeños servicios de agua y otros sectores. Comuníquese con sus proveedores y socios clave y asegúrese de ser conscientes de la amenaza y de los recursos gratuitos de Dragos que pueden usar (ver más abajo).
Comience con los controles críticos de Sans 5 Critic. Incluso si recién está comenzando su viaje de seguridad cibernética o evaluando cómo aumentar la madurez, use sans orientación para optimizar la complejidad que puede acompañar a OT ciberseguridad. Evalúe los controles que tiene y asegúrese de que se estén implementando correctamente.
Si eres una pequeña utilidad eléctrica, de agua o gas natural, juegas un papel crucial en la defensa colectiva. Puede sentirse abrumador, así que aproveche los recursos que están disponibles para desarrollar su conocimiento y hacer que OT ciberseguridad sea accesible y alcanzable. Sus ISAC son un recurso, y otras organizaciones están ahí para apoyarlo. Por ejemplo, Dragos OT-Cert Proporciona recursos gratuitos para la comunidad ICS/OT en todo el mundo, proporcionando información y materiales para ayudar a construir un programa de ciberseguridad OT, mejorar la postura de seguridad y reducir los riesgos OT. El Defensa comunitaria de Dragos El programa proporciona pequeñas empresas eléctricas, de agua y gas natural en EE. UU. Y Canadá, que tienen menos de $ 100 millones de dólares en ingresos anuales, con la plataforma Dragos, la caza de amenazas, la capacitación en línea y la defensa colectiva, todo de forma gratuita.
Para terminar, sin importar el estado de su programa de ciberseguridad, aprovechemos esta oportunidad para auditar nuestras defensas, endurecer nuestros controles y cerrar nuestras brechas. Todos hemos visto venir esta escalada y nuestras organizaciones, nuestros clientes y la civilización cuentan con nosotros para mantenerlos a salvo. Es una responsabilidad desalentadora, pero ¿no es por eso que elegimos esta profesión en primer lugar?
Una sesión informativa ejecutiva sobre amenazas cibernéticas industriales
El CEO de Dragos, Robert M. Lee, analiza las últimas amenazas cibernéticas OT/ICS y ofrece recomendaciones estratégicas para fortalecer sus defensas.