cloud-riders.ES Azure,Azure Securty,Azure Sentinel,Azure Stack,Cloud,Data Protection Manager,DataCenter Management,Hacking Conoce a tu enemigo – Defensa del sistema de control

Conoce a tu enemigo – Defensa del sistema de controlConoce a tu enemigo – Defensa del sistema de control

junio 30, 2023junio 30, 2023| jiollerjioller| 0 Comments | 11:59 pm
Categorías:

Acompáñanos en este artículo y conoce a tu enemigo en la defensa del sistema de control.

Los activos de tecnología operativa/sistemas de control industrial (OT/ICS) que operan, controlan y monitorean la infraestructura crítica y los procesos industriales del día a día siguen siendo un objetivo atractivo para los ciberactores maliciosos.

Sun Tzu

Estos actores cibernéticos, incluidos los grupos de amenazas persistentes avanzadas (APT), apuntan a los activos OT/ICS para lograr ganancias políticas, ventajas económicas o efectos destructivos.

Debido a que los sistemas OT/ICS gestionan procesos operativos físicos, las operaciones de los actores cibernéticos podrían tener consecuencias físicas, incluida la pérdida de vidas, daños a la propiedad e interrupción del funcionamiento.

Los dispositivos y diseños OT/ICS están disponibles públicamente, a menudo incorporan componentes vulnerables de tecnología de la información (TI) e incluyen conexiones externas y acceso remoto que aumentan sus superficies de ataque.

Además, hay una multitud de herramientas disponibles para explotar los sistemas de TI y OT.

Como resultado de estos factores, los ciberactores maliciosos presentan un riesgo cada vez mayor para las redes ICS.

Los enfoques tradicionales para proteger OT/ICS no abordan adecuadamente las amenazas actuales a esos sistemas.

Sin embargo, los propietarios y operadores que comprenden las tácticas, técnicas y procedimientos (TTP) de los ciberactores pueden utilizar ese conocimiento al priorizar acciones de refuerzo para OT/ICS.

Este aviso conjunto de ciberseguridad, que se basa en directrices anteriores de la NSA y CISA para detener la actividad maliciosa de ICS y reducir la exposición a OT, describe los TTP que los actores maliciosos utilizan para comprometer los activos de OT/ICS.

También recomienda mitigaciones que los propietarios y operadores pueden utilizar para defender sus sistemas. La NSA y la CISA alientan a los propietarios y operadores de OT/ICS a aplicar las recomendaciones de este CSA.

Los activos de OT/ICS operan, controlan y monitorean procesos industriales en toda la infraestructura crítica de EE. UU.

Los activos de ICS tradicionales son difíciles de proteger debido a su diseño para máxima disponibilidad y seguridad, junto con el uso de sistemas con décadas de antigüedad que a menudo carecen de actualizaciones de seguridad recientes.

Los activos ICS más nuevos pueden configurarse de manera más segura, pero a menudo tienen una mayor superficie de ataque debido a la incorporación de conectividad de red de TI o Internet para facilitar el control y las operaciones remotas.

El efecto neto de la convergencia de las plataformas de TI y OT ha aumentado el riesgo de explotación cibernética de los sistemas de control.

El ámbito cibernético actual está lleno de actores cibernéticos maliciosos bien financiados por estados nacionales, así como de grupos menos sofisticados, piratas informáticos independientes y amenazas internas.

Los sistemas de control han sido atacados por una variedad de estos actores cibernéticos maliciosos en los últimos años para lograr beneficios políticos, ventajas económicas y posiblemente efectos destructivos.

Más recientemente, los actores de APT también han desarrollado herramientas para escanear, comprometer y controlar dispositivos OT específicos.

El plan de juego de los actores malintencionados para las intrusiones en el sistema de control

Los ciberactores suelen seguir estos pasos para planificar y ejecutar compromisos contra los sistemas de control de infraestructura crítica:

1. Establecer el efecto deseado y seleccionar un objetivo.

2. Recopilar inteligencia sobre el sistema objetivo.

3. Desarrollar técnicas y herramientas para navegar y manipular el sistema. 4. Obtenga acceso inicial al sistema.

5. Ejecutar técnicas y herramientas para crear el efecto deseado.

Aprovechando la experiencia específica y el conocimiento de la red, los actores maliciosos (especialmente los patrocinados por el Estado) pueden llevar a cabo estos pasos de manera coordinada, a veces de manera simultánea y repetida, como lo ilustra la actividad cibernética del mundo real.

Establecer el efecto deseado y seleccionar un objetivo:

Los actores cibernéticos, desde los ciberdelincuentes hasta los actores APT patrocinados por el estado, apuntan a la infraestructura crítica para lograr una variedad de objetivos.

Los ciberdelincuentes tienen motivaciones financieras y apuntan a los activos de OT/ICS para obtener ganancias financieras (por ejemplo, extorsión de datos u operaciones de ransomware).

Los actores de la APT patrocinados por el Estado apuntan a infraestructura crítica para objetivos políticos y/o militares, como desestabilizar paisajes políticos o económicos o causar impactos psicológicos o sociales en una población.

El actor cibernético selecciona el objetivo y el efecto deseado (interrumpir, desactivar, negar, engañar y/o destruir) en función de estos objetivos.

Por ejemplo, desactivar las redes eléctricas en ubicaciones estratégicas podría desestabilizar el panorama económico o respaldar campañas militares más amplias.

Interrumpir las instalaciones de tratamiento de agua o amenazar con destruir una presa podría tener impactos psicológicos o sociales en una población.

Recopilar inteligencia sobre el sistema objetivo:

Una vez establecidos la intención y el objetivo, el actor recopila inteligencia sobre el sistema de control objetivo.

El actor puede recopilar datos de múltiples fuentes, incluyendo:

  • Investigación de código abierto: Existe una gran cantidad de información disponible públicamente sobre los sistemas de control y sus diseños. Por ejemplo, la información de solicitud y los anuncios de empleo pueden indicar componentes y enumerar números de modelo específicos.
  • Amenazas internas: El actor también puede aprovechar a personas de confianza, incluso inconscientes, para recopilar información. La ingeniería social a menudo obtiene una gran cantidad de información de personas que buscan un nuevo trabajo o incluso simplemente intentan ayudar.
  • Redes empresariales: El actor puede comprometer las redes de TI empresariales y recopilar y filtrar información relacionada con ICS. Los documentos de adquisiciones, las especificaciones de ingeniería e incluso las configuraciones pueden almacenarse en las redes de TI corporativas.

Además de la inteligencia específica de OT, la información sobre las tecnologías de TI utilizadas en los sistemas de control está ampliamente disponible.

El conocimiento que antes estaba limitado a los ingenieros de sistemas de control y a los operadores de OT se ha vuelto fácilmente disponible a medida que las tecnologías de TI avanzan hacia una mayor parte del entorno de los sistemas de control.

Los proveedores de sistemas de control, junto con la comunidad de propietarios/operadores, han optimizado y reducido continuamente el costo de ingeniería, operación y mantenimiento de los sistemas de control mediante la incorporación de más componentes y tecnologías de TI básicos en algunas partes de los entornos OT.

Estos avances pueden hacer que más información sobre algunos sistemas esté fácilmente disponible, aumentando así el riesgo de explotación cibernética.

Desarrollar técnicas y herramientas:

Utilizando la inteligencia recopilada sobre el diseño del sistema de control, un actor cibernético puede adquirir sistemas que sean similares al objetivo y configurarlos como versiones simuladas con fines prácticos.

Los actores del Estado-nación pueden obtener fácilmente la mayoría de los equipos del sistema de control.

Los grupos con medios limitados todavía pueden adquirir sistemas de control a través de proveedores y revendedores de segunda mano dispuestos a hacerlo.

El acceso a una maqueta del sistema objetivo permite al actor determinar las herramientas y técnicas más efectivas.

Un actor cibernético puede aprovechar las utilidades del sistema residente, las herramientas de explotación disponibles o, si es necesario, desarrollar o comprar herramientas personalizadas para afectar el sistema de control.

Las utilidades que ya están en el sistema se pueden usar para reconfigurar las configuraciones y pueden tener poderosas capacidades de solución de problemas.

A medida que la comunidad de sistemas de control ha incorporado TI básica y OT modernizada, la comunidad ha simplificado las herramientas, técnicas, scripts y paquetes de software utilizados en los sistemas de control.

Como resultado, hay una multitud de herramientas convenientes disponibles para explotar los sistemas de TI y OT.

Hay una multitud de herramientas disponibles para explotar los sistemas de TI y OT:

Los actores también pueden desarrollar malware personalizado centrado en ICS en función de su conocimiento de los sistemas de control.

Por ejemplo, el malware TRITON fue diseñado para atacar ciertas versiones de los controladores lógicos programables (PLC) Triconex Tricon modificando el firmware de la memoria para agregar programación adicional.

La funcionalidad adicional permite a un actor leer/modificar el contenido de la memoria y ejecutar código personalizado, desactivando el sistema de seguridad.

Los actores de APT también han desarrollado herramientas para buscar, comprometer y controlar ciertos PLC de Schneider Electric, PLC de OMRON Sysmac NEX y servidores de Arquitectura Unificada de Comunicaciones de Plataforma Abierta (OPC UA).

Con los TTP implementados, un actor cibernético está preparado para hacer prácticamente cualquier cosa que un operador de sistema normal pueda hacer, y potencialmente mucho más.

Obtenga acceso inicial al sistema:

Para aprovechar las técnicas y herramientas que desarrollaron y practicaron, los actores cibernéticos primero deben obtener acceso al sistema objetivo.

Los sistemas mantienen capacidades de acceso remoto que permiten a los proveedores, integradores, proveedores de servicios, propietarios y operadores acceder al sistema.

El acceso remoto permite a estas partes realizar servicios de monitoreo remoto, diagnosticar problemas de forma remota y verificar acuerdos de garantía.

Sin embargo, estos puntos de acceso suelen tener prácticas de seguridad deficientes, como el uso de contraseñas predeterminadas y de mantenimiento.

Los ciberactores maliciosos pueden aprovechar estos puntos de acceso como vectores para obtener acceso encubierto al sistema, extraer datos y lanzar otros ataques cibernéticos.

Actividades antes de que un operador se dé cuenta de que hay un problema. Los actores malintencionados pueden utilizar plataformas de búsqueda basadas en web, como Shodan, para identificar estos puntos de acceso expuestos.

El acceso de los proveedores a los sistemas de control normalmente utiliza conexiones que crean un puente entre las redes del sistema de control y los entornos externos.

Este puente, a menudo desconocido para el propietario/operador, proporciona otra vía para la explotación cibernética y permite a los ciberactores aprovechar las vulnerabilidades de otras infraestructuras para obtener acceso al sistema de control.

Los puntos y metodologías de acceso remoto utilizan una variedad de protocolos de acceso y comunicación.

Muchos no son más que módems de acceso telefónico y conmutadores de red proporcionados por proveedores protegidos únicamente por oscuridad y contraseñas.

Algunos son dispositivos dedicados y servicios que se comunican a través de redes privadas virtuales (VPN) más seguras y cifrado.

Pocos, si es que hay alguno, ofrecen capacidades sólidas de ciberseguridad para proteger los puntos de acceso al sistema de control o evitar la transmisión de datos adquiridos fuera del entorno relativamente seguro del sistema de control aislado.

Este acceso a un sistema de control aparentemente cerrado se puede utilizar para explotar la red y los componentes.

Ejecutar técnicas y herramientas para crear los efectos deseados:

Una vez que un actor obtiene acceso inicial al sistema OT/ICS objetivo, ejecutará técnicas, herramientas y malware para lograr los efectos deseados en el sistema objetivo.

Para interrumpir, deshabilitar, negar, engañar y/o destruir el sistema, el actor malicioso a menudo realiza, en cualquier orden o en combinación, las siguientes actividades:

  • Degradar la capacidad del operador para monitorear el sistema objetivo o degradar la confianza del operador en la capacidad del sistema de control para operar, controlar y monitorear el sistema objetivo. Funcionalmente, un actor podría impedir que la pantalla del operador (interfaz hombre-máquina o HMI) se actualice y seleccione de forma selectiva.
  • Actualice o cambie las visualizaciones en la HMI, como se vio durante el ataque a la red eléctrica de Ucrania. (Manipulación de la vista [T0832])
  • Opere el sistema de control específico. Funcionalmente, esto incluye la capacidad de modificar valores analógicos y digitales internos al sistema (cambiando alarmas y agregando o modificando cuentas de usuario), o cambiar puntos de control de salida; esto incluye capacidades tales como alterar las señales de salida del cambiador de tomas, la demanda de velocidad de la turbina y interruptores de apertura y cierre. (Manipulación del control [T0831])
  • Afectar la capacidad del sistema para reportar datos. Funcionalmente, esto se logra degradando o interrumpiendo las comunicaciones con circuitos de comunicaciones externos (por ejemplo, ICCP, HDLC, PLC, VSAT, radio SCADA, otros medios de radiofrecuencia), unidades terminales remotas (RTU) o controladores lógicos programables (PLC), redes comerciales o corporativas conectadas, subredes HMI, otras E/S remotas y cualquier Historiador/almacenamiento de datos masivos conectado. (Bloquear mensaje de informe [T0804], Denegación de vista [T0815])
  • Negar la capacidad del operador para controlar el sistema objetivo. Funcionalmente, esto incluye la capacidad de detener, abortar o corromper el sistema operativo (OS) del sistema o la funcionalidad del software del sistema de control de supervisión y adquisición de datos (SCADA). (Denegación de control [T0813])
  • Habilite el reconocimiento remoto o local en el sistema de control. Funcionalmente, un actor podría obtener información de configuración del sistema para permitir el desarrollo de una configuración de sistema modificada o una herramienta personalizada. (Recopilación [TA0100], Robo de Información Operacional [T0882])

Utilizando estas técnicas, los ciberactores podrían provocar diversas consecuencias físicas. Podrían abrir o cerrar interruptores, válvulas de mariposa, sobrellenar tanques, acelerar demasiado las turbinas o colocar plantas en condiciones operativas inseguras.

Además, los actores cibernéticos podrían manipular el entorno de control, oscureciendo la conciencia del operador y obstruyendo la recuperación, bloqueando interfaces y configurando monitores para mostrar condiciones normales.

Los actores pueden incluso suspender la funcionalidad de alarma, permitiendo que el sistema funcione en condiciones inseguras sin alertar al operador.

Incluso cuando los sistemas de seguridad física deberían evitar consecuencias físicas catastróficas, son posibles efectos más limitados y podría ser suficiente para cumplir con la intención del actor. Sin embargo, en algunos escenarios, si un actor manipula simultáneamente varias partes del sistema, los sistemas de seguridad física pueden no ser suficientes.

Los impactos al sistema podrían ser temporales o permanentes, e incluso podrían incluir la destrucción física del equipo.

Mitigaciones:

La complejidad de equilibrar la seguridad de la red con el rendimiento, las funciones, la facilidad de uso y la disponibilidad puede resultar abrumadora para los propietarios/operadores.

Esto es especialmente cierto cuando las herramientas y scripts del sistema permiten la facilidad de uso y aumentan la disponibilidad o funcionalidad de la red de control; o cuando los proveedores de equipos requieren acceso remoto para cumplir con la garantía, obligaciones de servicio y funcionalidad financiera/facturación.

Sin embargo, con el aumento de ataques a OT/ICS por parte de actores maliciosos, los propietarios/operadores deberían ser más conscientes de los riesgos al tomar estas decisiones de equilibrio.

Los propietarios/operadores deben considerar cuidadosamente qué información sobre sus sistemas debe estar disponible públicamente y determinar si cada conexión externa es realmente necesaria.

Los propietarios y operadores de sistemas no pueden evitar que un actor malintencionado apunte a sus sistemas.

Comprender que ser un objetivo no es un “si” sino un “cuándo” es un contexto esencial para tomar decisiones de seguridad de ICS.

Al asumir que el sistema está siendo atacado y predecir los efectos que un actor malicioso intentaría causar, los propietarios/operadores pueden priorizar y emplear acciones de mitigación.

Sin embargo, la variedad de soluciones de seguridad disponibles también puede resultar intimidante y provocar una parálisis de opciones.

En medio de tantas opciones, es posible que los propietarios/operadores no puedan incorporar estrategias administrativas y de seguridad simples que puedan mitigar muchas de las amenazas comunes y realistas.

Afortunadamente, los propietarios/operadores pueden aplicar algunas prácticas recomendadas de seguridad de ICS sencillas para contrarrestar los TTP del adversario.

Limitar la exposición de la información del sistema:

La información operativa y del sistema y los datos de configuración son un elemento clave de las operaciones de infraestructura crítica.

No se puede subestimar la importancia de mantener la confidencialidad de dichos datos.

En la medida de lo posible, evite divulgar información sobre el hardware, el firmware y el software del sistema en cualquier foro público. Incorporar la educación en protección de la información en la formación del personal.

Limite la información que se envía desde el sistema.

Documente las respuestas a las siguientes preguntas:

  • ¿De dónde y hacia dónde fluyen los datos?
  • ¿Cómo se documentan las vías de comunicación y cómo se protegen/cifran los datos?
  • ¿Cómo se utilizan y protegen los datos cuando llegan a su destino?
  • ¿Cuáles son los estándares de seguridad de la red en el destino de los datos, ya sea un proveedor/regulador o un administrador/institución financiera?
  • ¿Se pueden compartir más los datos una vez en su destino? ¿Quién tiene la autoridad para compartir estos datos?

Elimine todos los demás destinos de datos.

Comparta solo los datos necesarios para cumplir con los requisitos legales aplicables, como los requeridos contractualmente por los proveedores, nada más.

No permita otros usos de los datos y otros accesos al sistema sin políticas administrativas estrictas diseñadas específicamente para proteger los datos.

Prevenir nuevas conexiones al sistema de control mediante una estricta responsabilidad administrativa.

Asegúrese de que existan acuerdos estrictos con sistemas/proveedores externos en lo que respecta al intercambio, el acceso y el uso.

Tener políticas sólidas para la destrucción de dichos datos. Audite las políticas y los procedimientos para verificar el cumplimiento y proteger los datos una vez que lleguen a su destino, y determinar quién tiene realmente acceso a ellos.

Identificar y proteger puntos de acceso remotos:

Los propietarios/operadores deben mantener un conocimiento detallado de todos los sistemas instalados, incluidos los puntos de acceso remoto que están (o podrían estar) funcionando en la red del sistema de control.

Crear un “inventario de conectividad” completo es un paso crítico para asegurar el acceso al sistema.

Muchos dispositivos proporcionados por proveedores mantienen estas capacidades de acceso como una función auxiliar y pueden tener servicios que automáticamente «llamarán a casa» en un intento de registrar y actualizar software o firmware.

Un proveedor también puede tener múltiples puntos de acceso para cubrir diferentes tareas.

Una vez que los propietarios/operadores hayan identificado todos los puntos de acceso remoto en sus sistemas, pueden implementar las siguientes recomendaciones para mejorar su postura de seguridad:

  • Reduzca la superficie de ataque limitando y fortaleciendo proactivamente los activos expuestos a Internet. Ver CISA
  • Establezca un firewall y una zona desmilitarizada (DMZ) entre el sistema de control y los puntos de acceso y dispositivos del proveedor.
  • No permita el acceso directo al sistema; utilizar un servicio intermediario para compartir solo los datos necesarios y solo cuando sea necesario.
  • Considere el uso de redes privadas virtuales (VPN) en puntos específicos hacia y desde el sistema en lugar de permitir puntos de acceso separados para dispositivos o proveedores individuales.
  • Utilice cajas de salto para aislar y monitorear el acceso al sistema.
  • Asegúrese de que los datos solo puedan fluir hacia afuera del sistema, administrativa y físicamente. Utilice enlaces cifrados para intercambiar datos fuera del sistema.
  • Haga cumplir estrictamente las políticas y procedimientos para el acceso remoto, incluso si el personal se queja de que es demasiado difícil.
  • Si el sistema no utiliza puntos de acceso y dispositivos de proveedores, asegúrese de que no haya ninguno activo. Utilice hardware, software y técnicas administrativas estrictas para evitar que se vuelvan activos de forma encubierta.
  • No permita que los dispositivos y software de acceso al sistema proporcionados por el proveedor operen continuamente en el sistema sin un conocimiento total de su postura de seguridad y registros de acceso.
  • Instale y mantenga actualizados todos los sistemas de seguridad proporcionados por el proveedor asociados con los puntos de acceso del proveedor instalados.
  • Revise las configuraciones para asegurarse de que estén configuradas de forma segura. Los operadores normalmente se centran en la funcionalidad necesaria, por lo que es posible que se pase por alto proteger adecuadamente las configuraciones y el acceso remoto.
  • Considere realizar pruebas de penetración para validar la postura de seguridad del sistema y cualquier acceso desconocido o vulnerabilidad de acceso.
  • Agregue funciones de seguridad adicionales al sistema según sea necesario. No asuma que un proveedor tiene el monopolio de la seguridad de su equipo; otros proveedores pueden producir características de seguridad para llenar los vacíos.
  • Cambie todas las contraseñas predeterminadas en todo el sistema y actualice cualquier producto con contraseñas codificadas, especialmente en todos los componentes de seguridad y acceso remoto.
  • Parche las vulnerabilidades explotadas conocidas siempre que sea posible. Priorice la aplicación oportuna de parches en todos los puntos de acceso remoto. Mantenga actualizados los sistemas operativos, firewalls y todas las funciones de seguridad.
  • Supervise continuamente los registros de acceso remoto en busca de accesos sospechosos. Agregue registros de forma segura para facilitar el seguimiento.

Restringir herramientas y scripts

Limite el acceso a la red y a las herramientas y scripts de las aplicaciones del sistema de control a usuarios legítimos que realicen tareas legítimas en el sistema de control.

A menudo no es factible eliminar por completo las herramientas y scripts y parchear los componentes del sistema de control integrado para detectar vulnerabilidades explotables.

Por lo tanto, aplique cuidadosamente las limitaciones de acceso y uso a procesos y componentes particularmente vulnerables para limitar la amenaza.

Es posible que el sistema de control y los puntos de acceso del proveedor que lo acompañan se hayan entregado con herramientas de ingeniería, configuración y diagnóstico preinstaladas.

Los ingenieros utilizan estas herramientas para configurar y modificar el sistema y sus procesos según sea necesario.

Sin embargo, un actor malicioso también puede utilizar estas herramientas para manipular el sistema, sin necesidad de herramientas adicionales especiales.

Usar el sistema contra sí mismo es una poderosa técnica de ciberexplotación.

Las estrategias de mitigación incluyen:

  • Identifique cualquier herramienta de ingeniería, configuración o diagnóstico.
  • Guarde de forma segura copias doradas de estas herramientas externas al sistema, si es posible.
  • Retire todas las herramientas que no sean críticas.
  • Evite que estas herramientas se vuelvan a instalar.
  • Realice auditorías de rutina para verificar que estas herramientas no hayan sido reinstaladas.

Realizar auditorías de seguridad periódicas.

El propietario/operador del sistema de control debe considerar realizar una auditoría de seguridad independiente del sistema, especialmente de los puntos y sistemas de acceso de terceros.

El propietario/operador no puede depender únicamente de las opiniones, opciones y orientación del proveedor/integrador que diseñó, desarrolló o vendió el sistema.

El objetivo de tal auditoría tiene como objetivo identificar y documentar las vulnerabilidades, prácticas y procedimientos del sistema que deben eliminarse para mejorar la postura ciberdefensiva y, en última instancia, evitar que los ciberactores maliciosos puedan causar los efectos previstos. Los pasos a considerar durante una auditoría incluyen los siguientes:

  • Valide todas las conexiones (por ejemplo, red, serie, módem, inalámbrica, etc.).
  • Revisar los procedimientos de parcheo del software del sistema.
  • Confirme el almacenamiento seguro de copias doradas (por ejemplo, sistema operativo, firmware, parches, configuraciones, etc.).
  • Verificar la eliminación del sistema de todo el software, servicios y herramientas no críticos.
  • Auditar el inventario completo de activos.
  • Implementar mitigaciones y mejores prácticas de CISA ICS.
  • Supervisar los registros del sistema y los registros del sistema de detección de intrusos (IDS).
  • El seguimiento de los registros de acceso, los cambios del sistema, los registros de IDS y otros datos de seguimiento se debe realizar de forma continua, con una mirada más profunda a estos datos durante las auditorías periódicas.

Implementar un entorno de red dinámico:

Los entornos de red estáticos proporcionan a los actores maliciosos un conocimiento persistente del sistema.

Una red estática puede brindar a los ciberactores la oportunidad de recopilar fragmentos de inteligencia sobre el sistema a lo largo del tiempo, establecer accesos a largo plazo al sistema y desarrollar las herramientas y TTP para afectar el sistema de control según lo previsto.

Si bien puede resultar poco realista para los administradores de muchos entornos OT/ICS realizar cambios periódicos que no sean críticos, los propietarios/operadores deberían considerar realizar cambios periódicos en la red que sean manejables.

Un pequeño cambio puede contribuir en gran medida a interrumpir el acceso obtenido previamente por parte de un actor malicioso. Considera lo siguiente:

  • Implemente firewalls y enrutadores adicionales de diferentes proveedores.
  • Modificar los grupos de direcciones IP.
  • Reemplace el hardware obsoleto (por ejemplo, estaciones de trabajo, servidores, impresoras, etc.).
  • Actualizar los sistemas operativos.
  • Instalar o actualizar paquetes de seguridad disponibles comercialmente para metodologías y puntos de acceso de proveedores.

Planificar estos cambios con mucha previsión puede ayudar a minimizar el impacto en la operación de la red.

Los propietarios/operadores deben familiarizarse con los riesgos para el sistema descritos por el proveedor del producto.

Estos pueden describirse en los manuales como que el sistema utiliza protocolos inseguros para la interoperabilidad o ciertas configuraciones que pueden exponer el sistema de maneras adicionales.

Se deben considerar e implementar cambios en el sistema para reducir estos riesgos cuando sea posible.

Espero que os resulte útil.

Un saludo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Related Post