¿Cómo se vería la "mejor práctica" al proteger la infraestructura crítica contra el ataque cibernético del actor estatal?

0

Estaba leyendo este artículo del New York Times, que detalla el grado alarmante en que los sistemas informáticos que ejecutan infraestructura cívica crítica supuestamente se han visto comprometidos por ciberataques rusos.

En particular, mi pregunta se relaciona con el texto:

  

Aún así, las nuevas capturas de pantalla de computadoras publicadas por el Departamento de Seguridad Nacional el jueves dejaron en claro que los piratas informáticos del estado ruso tenían la base que necesitarían para manipular o apagar las centrales eléctricas.

     

"Ahora tenemos pruebas de que están sentados en las máquinas, conectadas a la infraestructura de control industrial, que les permiten apagar la alimentación de manera efectiva o realizar un sabotaje", dijo Eric Chien, director de tecnología de seguridad de Symantec, una seguridad digital. firme.

     

"Por lo que podemos ver, estaban allí. Tienen la capacidad de apagar la alimentación. Todo lo que falta es una motivación política ", dijo Chien.

Claramente, la seguridad debe ser importante para los proveedores de infraestructura, pero la protección contra ataques a nivel patrocinado por el estado puede estar más allá de su capacidad.

¿Qué medidas se han tomado para minimizar la amenaza de que los actores estatales pongan en peligro la infraestructura crítica, en particular a partir de ejemplos de otros países, que podrían combinarse para definir las "mejores prácticas"?

Desde una perspectiva abstracta, sospecho que la mejor respuesta probablemente implique un conjunto de medidas de infraestructura, técnicas, de seguridad y legislativas / reglamentarias.

por ejemplo establecimiento de un cuerpo de supervisión con poderes para penalizar el incumplimiento, tener una red física separada, examinar al personal involucrado, examinar a los proveedores de hardware de infraestructura involucrados, un programa de recompensas de vulnerabilidad en curso, métodos criptográficos innovadores, etc.

    
pregunta QA Collective 20.03.2018 - 00:32
fuente

2 respuestas

2

Advertencia, mucho texto. Tema muy complicado. tl; dr es: nosotros como nación no estamos haciendo mucho y no hemos estado haciendo mucho. La mentalidad actual es "depende de las empresas arreglarlo antes de que GOVT tenga que involucrarse". Las empresas no quieren pagar, y no saben qué hacer, y no ven un "motivador del mercado" (sí, literalmente escuchen eso todo el tiempo. No estoy bromeando). Europa lo está haciendo mucho mejor con el impulso hacia los requisitos de 62443 para todos los ICS.

Soy principal en ICS / Infraestructura crítica para una empresa que participa en la certificación de seguridad para dispositivos asociados con esto. Y tengo malas noticias. No hay mucho que requiera la mayoría de la infraestructura para asegurarse. Nerc-CIP está relacionado con la red eléctrica, pero no todo tiene requisitos de seguridad. Nuclear tiene algunos, a través de NEC y IAEA y su superposición con Power Grid. De lo contrario ... no mucho.

Cada año, en conferencias de seguridad, se pronuncian discursos sobre cómo las "ardillas" han hecho más daño a nuestra infraestructura que los piratas informáticos. Dicho esto, recuerde que no hay reglas de divulgación honestas para la infraestructura. Realmente no sabemos cuánto cuesta una ardilla y cuánto no.

Sin embargo, puedo decirle que, como primer probador de lápiz ICS de primera mano que ha trabajado con una gran cantidad de productos en este espacio ... al menos 1/3 de los productos nuevos vienen a la puerta críticamente vulnerables (en mi experiencia. Y estoy siendo generoso), y solo un porcentaje muy pequeño en total claramente se ha construido con un completo plan de seguridad de "defensa en profundidad". Una buena noticia es que cuando hayamos terminado con ellos, estarán mucho más seguros y las empresas con las que hemos trabajado están desarrollando mejores prácticas (si es necesario).

También son buenas noticias, existen buenas prácticas para proteger dispositivos inseguros dentro de una red, incluso si los dispositivos no son seguros, pero no hay muchas auditorías y comprobaciones constantes para esto. De hecho, mi experiencia es que HIPPA, PCI y SOX tienen reglas y responsabilidades mucho más firmes que proteger a Crit. Infraestructura. También estoy incluyendo los sistemas de respuesta 911 en esto, que también han demostrado ser vulnerables.

Hay una gran cantidad de ejemplos de los últimos 10 años, que realmente aumentaron en los últimos 4, de los ataques de estilo de estado nación en Crit. Infraestructura. La red eléctrica ucraniana ha sido atacada varias veces con múltiples herramientas, pensando que es un campo de entrenamiento para hackers rusos. El gobierno de EE. UU. Atacó las instalaciones nucleares en Nitanez utilizando un malware personalizado en un muy famoso exploit en 2010. Mucho más. Demasiado por esta respuesta.

En cuanto a lo que se está haciendo ... no mucho. Las compañías no pueden pagar millones de dólares de renovación, no hay estándares acordados universalmente para los modernos protocolos seguros de ICS (sí, la mayoría de los protocolos de red de ICS son de texto simple sin verificación de dispositivos), los equipos de ICS no pueden encontrar profesionales de seguridad que comprendan ICS porque hay -muy pocos. Hay un montón de otros problemas ...

Y se pone peor ... literalmente me senté en el almuerzo con el ex jefe de DHS. Fui yo, él, otras 2 personas. Estaba profundamente preocupado ya que nuestra administración actual está dejando vacíos masivos de personal y parece estar completamente sin invertir en ningún tipo de esfuerzo para solucionar este problema y asegurar la nación. Sí, es cierto que tienen muchas conferencias de DC para hablar de ello ... pero nadie está poniendo dinero o creando legislación.

La buena noticia es que, en general, sabemos cómo proteger nuestros sistemas y cuáles son las principales deficiencias en todos los niveles de la pila de tecnología (desde CWE hasta la zonificación de la red). ICS-CERT (una rama de US-CERT, el equipo estadounidense de respuesta de emergencia para ciberespacio) tiene excelentes artículos sobre este tema. Junto con NIST, IEC 62443, y un puñado de otros. Buen lugar para comenzar para cualquier persona en ICS que esté preocupada. Busque en Google, si son múltiples, encuentre el que mejor se adapte a sus necesidades:

[google] filetype: pdf ics-cert mejores prácticas

    
respondido por el bashCypher 20.03.2018 - 02:32
fuente
0

NERC-CIP, es el proceso estándar para proteger los sistemas ICS. Define una plétora o regulaciones y requisitos técnicos para poner los componentes en línea.

El NIST ayuda a definir los estándares federales de sistemas de información que incluyen las mejores prácticas de seguridad del SO y el protocolo. Nuestra infraestructura de energía es mantenida por compañías privadas con regulaciones federales que regulan sus obligaciones de cumplimiento.

Un atacante motivado se acercará a su estrategia de defensa en capas como un equipo, cada individuo maneja su pieza y encuentra una manera efectiva en el tiempo.

Si bien no se puede especular sobre el artículo o los métodos empleados en la red en cuestión; la mayoría de las veces, un adversario atacará al operador y atacará los sistemas directamente.

El movimiento unilateral a través de una red / infraestructura fuertemente defendida es difícil mantener una posición persistente sin credenciales administrativas.

    
respondido por el jas- 20.03.2018 - 03:02
fuente

Lea otras preguntas en las etiquetas