Luchando contra los ciberincidentes que afectan a los sistemas de control industrial

9 Nov 2017

Hace un año, presentamos nuestro propio centro de respuesta para ciberincidentes que afectan a instalaciones de infraestructura industrial y crítica: el ICS CERT de Kaspersky Lab. Hemos decidido que, después de un año en funcionamiento, es el momento ideal de explicar en detalle por qué el centro es necesario, cuáles son sus funciones y en qué se diferencia de los demás.

¿Por qué KL ICS CERT?

La tarea principal del ICS CERT es coordinar las actividades de los fabricantes de sistemas de control industrial (ICS por sus siglas en inglés), de los propietarios y operadores de instalaciones industriales y de los investigadores en seguridad. A pesar del poco tiempo que lleva activo nuestro centro, ya ha establecido con éxito relaciones de trabajo con los principales actores del mercado ICS, con centros regionales de coordinación (como el US ICS-CERT en EE. UU y el JPCERT/CC en Japón) y con reguladores internacionales y estatales.

¿En qué se diferencia el centro ICS CERT de Kaspersky de los demás?

En primer lugar, todos los CERT (Equipo de Respuesta ante Emergencias Informáticas) en el campo de la ciberseguridad industrial son estructuras estatales o divisiones de fabricantes de ICS. Los primeros están limitados por los intereses (en su mayoría territoriales) de sus estados y los últimos solo resuelven los problemas relacionados con sus propios productos. Nosotros no tenemos ninguna restricción.

En segundo lugar, es menos probable que otros CERT hagan su propia investigación de vulnerabilidades y un análisis exhaustivo del panorama de las amenazas. Sus esfuerzos se centran en procesar la información sobre las amenazas recibidas externamente de, por ejemplo, otros investigadores y fabricantes de ICS. Nuestra situación no es la misma: Como somos una división del mayor proveedor mundial de seguridad informática, contamos con los recursos, las tecnologías y la experiencia para investigar vulnerabilidades y detectar amenazas por nuestra cuenta. Y, lo que es más importante, tenemos la experiencia necesaria. Después de todo, Kaspersky Lab ha liderado la lucha contra las ciberamenazas durante más de dos décadas y lleva varios años prestando especial atención a las amenazas industriales.

Procesamos big data sobre amenazas actuales y potenciales provenientes de todo el mundo y lo analizamos con herramientas de aprendizaje automático y algoritmos. Nuestro equipo de expertos termina de perfilar los resultados. Como resultado, nuestro ICS CERT identifica amenazas específicas a los sistemas de control industrial.

¿Qué hace exactamente el ICS CERT de KL?

Nuestro CERT opera en múltiples áreas, cubriendo un gran espectro de tareas. Sus funciones principales son compartir conocimiento con la comunidad, demostrar las capacidades técnicas a los socios y promocionar el proyecto entre profesionales, ingenieros y operadores de la seguridad ICS.

Búsqueda de vulnerabilidades en los sistemas de control industrial. Nuestros expertos están constantemente investigando todo tipo de sistemas de control industrial y dispositivos industriales IdC (Internet de las Cosas), evaluando su nivel de seguridad y descubriendo nuevas vulnerabilidades. En el último año, hemos detectado más de 100 vulnerabilidades de día cero y hemos informado a los fabricantes de las mismas. Gracias a nuestros esfuerzos, para octubre de este año, ya se habían parcheado 54 de las vulnerabilidades que hemos encontrado, haciendo que el mundo sea un lugar un poco más seguro.

Los resultados de nuestra investigación y trabajo para descubrir las vulnerabilidades se publicaron en el informe anual del ICS-CERT estadounidense. Recientemente, MITRE ha reconocido a nuestra empresa como autoridad en el campo de las vulnerabilidades (CVE Numbering Authority, o CNA). Como resultado, Kaspersky Lab se ha incorporado en la lista de CNA como investigador de seguridad. Somos la sexta organización en el mundo con este estatus.

Identificar y analizar las amenazas, mantener a la industria informada. Identificamos y analizamos ataques a empresas industriales (tanto los ataques dirigidos como los que suceden a nivel mundial, los cuales afectan a los sistemas ICS), investigamos las fuentes de infección de los sistemas SCADA y buscamos malware diseñado para sistemas industriales. También enviamos advertencias sobre las amenazas detectadas a los suscriptores y socios. En la web de nuestro CERT ya se han publicado dos informes semianuales sobre el estado de las ciberamenazas y se suelen publicar advertencias sobre amenazas identificadas e informes sobre ataques detectados en empresas industriales.

Investigar incidentes. Al investigar los ciberincidentes en las empresas industriales, rastreamos las causas, examinamos las herramientas y técnicas empleadas por los atacantes, ayudamos tanto a poner remedio y como en la prevención de nuevos incidentes. Durante el pasado año, hemos ayudado a empresas de varias industrias (metalúrgica, petroquímica, de construcción) en todo el mundo.

Evaluar el nivel de protección de los sistemas industriales. Nuestro CERT se especializa en evaluar el nivel de protección de los sistemas de control industrial. Además, desarrollamos herramientas para permitir a las empresas que prueben sus sistemas de manera independiente para buscar vulnerabilidades. En un futuro próximo, planeamos incrementar el número de dichas herramientas.

Cooperar con la industria y los reguladores públicos. Nuestros expertos son parte del proceso de elaboración de requisitos para los reguladores estatales y de la industria a fin de garantizar la seguridad informática de las instalaciones industriales. Durante el pasado año, hemos trabajado con el IIC, el IEEE, el ITU y la OPC Foundation (los estándares y tecnologías que producen están muy influenciados por nuestros expertos).

Educar. Nuestro CERT desarrolla sesiones de formación para operadores ICS e ingenieros, así como para especialistas en seguridad informática que trabajan para empresas industriales. También trabajamos con instituciones educativas. A principios de 2017, por ejemplo, nuestros expertos realizaron un taller de una semana sobre seguridad ICS para estudiantes, graduados y maestros en el MIT. Actualmente se está preparando el próximo taller, previsto para enero-febrero de 2018 y esperamos desarrollar uno en noviembre de 2017 en la Universidad de California, Berkeley. Además, estamos desarrollando un programa de formación con la Fraunhofer Society y trabajando para crear un máster en universidades rusas.

Organizar competiciones. Los concursos de seguridad informática en los que se simulan hackeos de varios sistemas de control industrial ofrecen una experiencia única y mejoran la comprensión de cómo proteger instalaciones críticas. Por ello, organizamos periódicamente competiciones para especialistas en seguridad informática con el lema Industrial CTF (Capture the Flag).El primero de estos eventos se desarrolló a finales de 2016 y prácticamente solo participaron equipos rusos. Sin embargo, en la ronda de clasificación del segundo hubo más de 180 equipos pertenecientes a Rusia, China, India, Europa y Latinoamérica. La edición de 2017 atrajo todavía a más participantes, con casi 700 equipos de todo el mundo. La final se desarrolló el 24 de octubre de 2017, en Shanghái durante el desarrollo de la GeekPwn International Conference. Hubo equipos de Japón, Korea y China.

En resumen, podemos asegurar que el primer año del ICS CERT de Kaspersky Lab ha sido intenso, pero productivo. Felicidades a todos los empleados en su primer aniversario y ¡a seguir trabajando para mejorar la seguridad de los sistemas de control industrial!