Equipo de Respuesta a Emergencias Cibernéticas

En colaboración con el Equipo de Respuesta a Emergencias Cibernéticas (ICS-CERT) del Departamento de Seguridad Interna del Departamento de Seguridad Interna, el FBI y la ISAC de Tecnología de la Información, WaterISAC ha desarrollado una lista de 10 recomendaciones básicas de ciberseguridad que las empresas de agua y Debilidades y defenderse contra las brechas de datos evitables y los ataques cibernéticos. Cada recomendación va acompañada de enlaces a los recursos técnicos correspondientes. Este documento es una versión actualizada de las 10 Medidas Básicas de Seguridad Cibernética para Reducir las Debilidades y Ataques Explotables que guía el WaterISAC publicado en agosto de 2012.[pic 1]

Al examinar sus informes de incidentes para 2014, ICS-CERT señaló que la aplicación de las tres primeras recomendaciones probablemente habría detectado los problemas, impedido las vulnerabilidades y evitado los impactos resultantes relacionados con esos incidentes. Aunque los riesgos siguen existiendo y los actores amenazados seguirán cambiando sus capacidades y métodos, ICS-CERT aconseja que las tres primeras recomendaciones se apliquen tan pronto como sea posible.

Para obtener más medidas para reducir los riesgos cibernéticos, consulte el Marco para mejorar la seguridad cibernética de las infraestructuras críticas por el Instituto Nacional de Estándares y Tecnología (NIST) y la Guía de la Seguridad Cibernética de la American Water Works Association (AWWA). El Marco de Seguridad Cibernética del NIST es un conjunto de prácticas, normas y directrices voluntarias creadas para ayudar a los propietarios de infraestructura y operadores críticos a manejar los riesgos cibernéticos. La Guía y Herramienta del AWWA es un enfoque sectorial específico para la adopción del Marco de Seguridad Cibernética del NIST.

1) Mantener un inventario preciso de los dispositivos del sistema de control y eliminar cualquier exposición de este equipo a redes externas

Nunca permita que ninguna máquina en la red de control se comunique directamente con una máquina en la red de negocios o en Internet. Aunque los sistemas de control industrial de algunas organizaciones pueden no enfrentarse directamente a Internet, todavía existe una conexión si esos sistemas están conectados a una parte de la red -como la parte corporativa- que tiene un canal de comunicaciones con recursos externos (no confiables) a la Internet).

Las organizaciones pueden no darse cuenta de que esta conexión existe, pero un agente persistente de la amenaza cibernética puede encontrar tales vías y utilizarlas para acceder y explotar sistemas de control industriales para tratar de crear una consecuencia física. Por lo tanto, se anima a las organizaciones a llevar a cabo evaluaciones exhaustivas de sus sistemas, incluidos los segmentos de empresas corporativas, para determinar dónde existen vías. Deberían eliminarse todos los canales entre los dispositivos del sistema de control y los equipos de otras redes para reducir las vulnerabilidades de la red.

2) Implementar la segmentación de red y aplicar cortafuegos

La segmentación de red implica clasificar y categorizar los activos de TI, los datos y el personal en grupos específicos y restringir el acceso a estos grupos. Al colocar recursos en diferentes áreas de una red, un compromiso de un dispositivo o sector no puede traducirse en la explotación de todo el sistema. De lo contrario, los agentes de amenazas cibernéticas podrían explotar cualquier vulnerabilidad dentro del sistema de una organización -la cadena más débil del enlace- para obtener entrada y moverse lateralmente a través de una red y acceder a equipos y datos sensibles. Dado el auge de la "Internet de las cosas" - por lo que muchos dispositivos anteriormente no conectados a Internet, como cámaras de vídeo, están ahora vinculados a los sistemas y la web - la importancia de la segmentación de las redes es mayor que nunca.[pic 2]

El acceso a las áreas de red puede ser restringido aislándolas completamente entre sí, lo cual es óptimo en el caso de sistemas de control industriales (como se describe en la recomendación # 1) o implementando firewalls. Un firewall es un programa de software o dispositivo de hardware que filtra el tráfico entrante y saliente entre diferentes partes de una red o entre una red e Internet. Para las conexiones que hacen frente a Internet, se puede configurar un cortafuegos para filtrar la información entrante y saliente. Al reducir el número de vías en y dentro de sus redes y mediante la implementación de protocolos de seguridad en las vías que existen, es mucho más difícil para una amenaza de entrar en su sistema y tener acceso a otras áreas.

La creación de límites y segmentos de red permite a una organización hacer cumplir tanto los controles de detección como los de protección dentro de su infraestructura. La capacidad de monitorear, restringir y gobernar los flujos de comunicación produce una capacidad práctica para basar el tráfico de red (especialmente el tráfico que atraviesa un límite de red) e identificar flujos de comunicación anómalos o sospechosos. Estos límites también proporcionan un medio para detectar prácticamente el movimiento lateral potencial, la huella de la red y la enumeración, y las comunicaciones del dispositivo que intentan atravesar de una zona a otra.

3) Uso de métodos de acceso remoto seguro

La posibilidad de conectarse remotamente a una red ha añadido una gran comodidad para los usuarios finales, pero se debe utilizar un método de acceso seguro, como una red privada virtual (VPN), si se requiere acceso remoto. Una VPN es un canal de datos encriptado para enviar y recibir datos de forma segura a través de la infraestructura de TI pública (como Internet). A través de una VPN, los usuarios pueden acceder remotamente a recursos internos como archivos, impresoras, bases de datos o sitios web como si estuvieran directamente conectados a la red. Este acceso remoto puede endurecerse adicionalmente reduciendo el número de direcciones de Protocolo de Internet (IP) que pueden acceder a él mediante la utilización de dispositivos de red y / o cortafuegos a direcciones IP y / o rangos específicos y desde dentro de los Estados Unidos. Segura como los dispositivos conectados a él. Un ordenador portátil infectado con malware puede introducir esas vulnerabilidades en la red, provocando infecciones adicionales y negando la seguridad de la VPN

4) Establecer controles de acceso basados ​​en funciones e implementar el registro del sistema

El control de acceso basado en funciones concede o niega el acceso a recursos de red basados ​​en funciones de trabajo. Esto limita la capacidad de los usuarios individuales - o atacantes - de alcanzar archivos o partes del sistema al que no deben acceder. Por ejemplo, los operadores de sistemas SCADA probablemente no necesitan acceso al departamento de facturación ni a ciertos archivos administrativos. Por lo tanto, defina los permisos basados ​​en el nivel de acceso que cada función de trabajo necesita para cumplir con sus funciones y trabaje con recursos humanos para implementar procedimientos operativos estándar para eliminar el acceso a la red de ex empleados y contratistas. Además, limitar los permisos de los empleados a través de controles de acceso basados ​​en funciones puede facilitar el seguimiento de las intrusiones de la red o actividades sospechosas durante una auditoría.

La implementación de una capacidad de registro permite el monitoreo de la actividad del sistema. Esto permite a las organizaciones llevar a cabo profundos análisis de causa raíz para encontrar las fuentes de problemas en el sistema, que puede haber sido las actividades de un empleado o un forastero. El monitoreo del tráfico de la red también permite a las organizaciones determinar si un usuario está realizando acciones no autorizadas o si un extraño está en el sistema, lo cual brinda la oportunidad de intervenir antes de que se manifiesten los problemas.

5) Use sólo contraseñas fuertes, cambie contraseñas predeterminadas y considere otros controles de acceso

Utilice contraseñas seguras para mantener sus sistemas e información seguros y tenga contraseñas diferentes para diferentes cuentas. Los hackers pueden usar herramientas de software disponibles para probar millones de combinaciones de caracteres para intentar un inicio de sesión no autorizado. Esto se denomina "ataque de fuerza bruta". Las contraseñas deben tener al menos ocho caracteres, pero las contraseñas más largas son más fuertes debido al mayor número de caracteres adivinar. Además, incluya letras mayúsculas y minúsculas, números y caracteres especiales. Cambie todas las contraseñas predeterminadas al instalar un nuevo software, especialmente para las cuentas de administrador y los dispositivos del sistema de control, y regularmente después. Implementar otras características de seguridad de contraseña, como un bloqueo de cuenta que se activa cuando se han ingresado demasiadas contraseñas incorrectas. Las organizaciones también pueden considerar la posibilidad de requerir autenticación de múltiples factores, lo que implica que los usuarios verifican sus identidades, a través de códigos enviados a dispositivos que registraron previamente, cuando intentan iniciar sesión.

6) Mantener la conciencia de las vulnerabilidades e implementar las revisiones y actualizaciones necesarias

La mayoría de los vendedores trabajan diligentemente para desarrollar parches para vulnerabilidades identificadas. Pero incluso después de que los parches y las actualizaciones se han liberado, muchos sistemas siguen siendo vulnerables porque las organizaciones desconocen o deciden no implementar estas correcciones. En su informe de investigaciones sobre violaciones de datos de 2015, Verizon observa que muchas de las brechas están habilitadas al no abordar estas vulnerabilidades conocidas, señalando que el 99.9% de las vulnerabilidades explotadas se vieron comprometidas más de un año después de la divulgación pública del problema. Además, el Informe de Seguridad Anual 2015 de Cisco señala que el 40% de los CISOs entrevistados en una encuesta indicaron que no tenían programas de corrección del sistema en su lugar. Estas vulnerabilidades sin parches equivalen a una "fruta baja" que los ciberdelincuentes pueden aprovechar fácilmente.

...