La necesidad de una gestión eficaz de identidad y acceso nunca ha sido tan grande. La sabiduría convencional sugiere que las claves para proteger la infraestructura crítica de ataques cibernéticos son la segmentación de red y la seguridad de OT, pero las violaciones continuas implican que estos métodos por sí solos no son suficientes.
La Agencia de Seguridad Cibernética e Infraestructura (CISA), junto con la Guardia Costera de Estados Unidos (USCG), sondeó las redes de 121 organizaciones de infraestructura crítica con el objetivo de evaluar las capacidades y defensas de red de una organización frente a amenazas potenciales. En el 90% de las ocasiones, el acceso inicial a la red de una organización se obtuvo mediante el compromiso de identidad.
La infraestructura crítica incluye 16 sectores vitales para la seguridad nacional de Estados Unidos clasificados por la CISA, incluyendo manufactura, servicios financieros y gobierno. Las organizaciones de infraestructura esencial enfrentan ataques cibernéticos implacables diseñados para interrumpir los servicios, exfiltrar información confidencial o mantener operaciones enteras como rescate.
El informe también destaca que, cuando se combina con otras técnicas, la identidad representa el principal medio de escalamiento de privilegios y, a su vez, un facilitador de movimiento lateral entre entornos de TI y OT. Este hallazgo es revelador, dado el uso generalizado de air gapping (aislamiento de redes), segmentación de red e inversiones sustanciales en seguridad de TI y OT.
“La gestión de vulnerabilidades es un componente vital en la estrategia de ciberseguridad de cualquier organización. Las empresas necesitan adaptarse a nuevos conceptos y nuevas herramientas para proteger su infraestructura. Al implementar un enfoque integral de gestión de vulnerabilidades, las organizaciones no solo fortalecerán sus defensas, sino que también demostrarán compromiso con la gobernanza, seguridad y resiliencia en el entorno digital”, aseveró Alejandro Dutto, Director de Ingeniería de Seguridad de Tenable para América Latina y el Caribe.
Colonial Pipeline: El mayor ciberataque contra una infraestructura esencial en EE.UU.
Dutto recordó que este ataque cibernético dio comienzo cuando los invasores obtuvieron acceso inicial a la red de TI mediante una contraseña de usuario y una cuenta VPN comprometidas. Luego se utilizó el protocolo de escritorio remoto para desplegar el ransomware, que aprovechó vulnerabilidades no corregidas y aumentó los privilegios.
Posteriormente, el ransomware encriptó sistemas críticos. Aunque los sistemas de OT no fueron comprometidos directamente por el ataque, los equipos de seguridad se vieron obligados a apagar el oleoducto para evitar que el ransomware se propagara a la red de OT.
La importancia del contexto
El desafío con prácticamente todas las herramientas de seguridad de punto es que no tienen una visión completa e integrada de las relaciones entre activos, identidad y riesgo en toda la superficie de ataque. Por ejemplo, las herramientas de seguridad de OT con frecuencia no tienen visibilidad de los activos e identidades de TI dentro del entorno de OT, incluidas debilidades que pueden ser explotadas para, en última instancia, comprometer sistemas de infraestructura crítica.
Son estas relaciones entre dominios las que permiten el acceso inicial, el movimiento lateral y la escalada de privilegios. Sin ellas, no es posible distinguir efectivamente un gran volumen de alertas aisladas de exposiciones reales que podrían interrumpir la integridad y continuidad de la infraestructura crítica.
Al adoptar un enfoque horizontal de seguridad que enfatiza la visibilidad integral, la evaluación contextual de riesgos y la priorización de exposiciones reales, las organizaciones pueden mejorar su postura de seguridad, aumentar la eficiencia y proteger mejor la infraestructura esencial contra amenazas en evolución, manifestó Tenable.