Prayukth KV
Lecciones del ciberataque en aeropuertos europeos: Acabamos de esquivar una grande
Los recientes ataques a aeropuertos europeos expusieron debilidades sistémicas, a nivel de procesos y de respuesta a incidentes, que no son exclusivas de los aeropuertos en Europa, sino que son compartidas por muchos aeropuertos en todo el mundo. Hoy, ya no podemos permitirnos ver la protección de la infraestructura crítica solo en términos de detección de amenazas y resiliencia. En cambio, infraestructuras como los aeropuertos deben gestionar amenazas, responder a incidentes y estar en funcionamiento con una interrupción mínima en el menor tiempo posible.
En Shieldworkz, ya hemos hablado sobre el actor de amenazas y las fuerzas geopolíticas detrás del ataque. Esta publicación no trata de eso. En su lugar, en la pieza de hoy examinamos las debilidades sistémicas que exponen la infraestructura crítica a tales ataques en primer lugar. El propósito de esta publicación es aprender juntos sobre cómo el ecosistema puede trabajar en conjunto para prevenir tales incidentes aprendiendo del pasado. Esta publicación tampoco es para culpar a nadie, sino para trabajar juntos para prevenir que tales incidentes ocurran en el futuro.
Fallas sistémicas
El ciberataque causó una falla en la plataforma ARINC Multi-User System Environment (Muse) que llevó a una serie de cierres afectando muchos sistemas críticos como las operaciones en tierra, el check-in de pasajeros y las cintas transportadoras. Una interrupción de esta magnitud en 4 grandes aeropuertos tiene un costo económico y también podría haber causado un evento cinético o incluso un ataque terrorista o múltiples intrusiones físicas no autorizadas mientras el personal estaba ocupado atendiendo las consecuencias del incidente original.
Esto no es una posibilidad descabellada e inimaginable. Los días de las batallas de avion o del espacio han quedado atrás. Hoy en día, las fuerzas geopolíticas actúan a través de planos simultáneamente para abrumar las defensas y explotar pequeñas brechas para crear un incidente importante. Como hemos demostrado en nuestro informe anterior sobre el reciente ciberataque, las raíces de este incidente se hunden en eventos que ocurrieron en la región unos días atrás. Tenemos que analizar los incidentes cibernéticos asignando el contexto adecuado para entender los objetivos y motivaciones de los actores de amenazas.
Las fallas sistémicas expuestas durante el incidente incluyen:
· Respuesta a incidentes demorada
· Falta de sistemas de respaldo y soporte operativo para continuar las operaciones
· Falta de visibilidad operacional y de la cadena de suministro
· Falta de sistemas señuelo para desviar ataques entrantes y confundir vectores de amenazas y malos actores
Ahora miremos cada uno de estos aspectos en detalle.
Respuesta a incidentes demorada
Todos los aeropuertos involucrados no respondieron al incidente rápidamente, lo que llevó al caos que finalmente dejó en tierra cerca de 140 vuelos. Si los aeropuertos involucrados hubieran evaluado su preparación para manejar tal incidente y abordado las brechas, este incidente podría haberse contenido más rápidamente.
La respuesta a incidentes debería considerar un único punto de falla junto con fallas en cascada y el plan debería idealmente tener respuestas operativas y redundancias para ambos. En primera instancia, todo software y procesos deberían ser identificados y etiquetados para acciones IR específicas en caso de falla. La respuesta IR debería llevarse a cabo más rápidamente en tales casos ya que cualquier retraso podría llevar a que más sistemas y procesos se vean afectados.
En caso de fallas en cascada donde se apunten múltiples sistemas, el enfoque debería estar en restaurar los sistemas de manera progresiva con plena seguridad de que la amenaza esté contenida. En ambos casos, recomendamos que la estrategia de respuesta a incidentes, los planes de acción y las acciones se prueben en diferentes escenarios y horarios para crear memoria muscular de respuesta a incidentes (cubriremos esto en detalle en una próxima publicación del blog). Ejercicios repetidos también eliminarán el pánico o las acciones impulsivas por parte de los empleados. Además, con una clara delimitación de roles y responsabilidades, los equipos podrán categorizar y responder a incidentes con mayor precisión en un plazo establecido.
Por eso Shieldworkz recomienda simulaciones inmersivas de respuesta a incidentes. Este es el lugar donde cada aspecto de la respuesta a incidentes es probado en un entorno de escalada continua para testear la verdadera profundidad de las estrategias y acciones de respuesta a incidentes. Dígame si está interesado en conocer más sobre un ejercicio de simulación de respuesta a incidentes personalizado para su negocio.
Falta de sistemas de respaldo y soporte operativo para continuar operaciones
Como hemos visto, los aeropuertos afectados hicieron su mejor esfuerzo para continuar con el negocio en la mayor medida posible a lo largo del incidente, pero no pudieron hacerlo. Faltaban sistemas de respaldo y redundancias que pudieran activarse para desviar servicios adicionales. Tales sistemas pueden ayudar a los equipos de respuesta a incidentes a centrarse más en las medidas de contención y remedio y reducir el caos. Tal enfoque podría demostrar ser un activo invaluable cuando cualquier organización enfrenta un incidente cibernético y la crisis que sigue.
Falta de visibilidad operacional y de la cadena de suministro
Este es un problema común que complica los desafíos de seguridad. Sin visibilidad adecuada más allá del SBoM y HBoM en términos de las prácticas reales de ciberseguridad seguidas por el ecosistema de proveedores y teniendo un conjunto base estándar de prácticas de seguridad seguidas por el ecosistema en su conjunto, se convierte en un desafío asegurar activos e infraestructuras.
Falta de sistemas señuelo para desviar ataques entrantes y confundir vectores de amenazas y malos actores
Al desplegar sistemas señuelo, se pueden desviar y desviar ataques reales a entornos simulados donde los TTPs y los vectores de amenazas pueden estudiarse en detalle. Dichos entornos aseguran la seguridad de los sistemas principales y reducen la carga sobre los equipos de seguridad al:
· Prevenir ataques a sistemas reales
· Permitir que se estudien los ataques. Los TTPs investigados pueden usarse para agregar prácticas de respuesta a incidentes al libro de jugadas de IR
· Frustrar a los actores de amenazas haciéndolos desperdiciar ciclos de ataque en objetivos falsos
Una evaluación y análisis de brechas basada en IEC 62443 para evaluar el estado de la seguridad de la infraestructura y el nivel de seguridad prevalente también será muy útil.
Finalmente, nada puede superar la monitorización de infraestructuras basada en agente-AI que es ofrecida por vendedores de seguridad OT como Shieldworkz.
Al confiar en una combinación de tales tácticas y estrategias, los operadores de infraestructuras críticas pueden asegurar que sus estrategias de IR permanezcan a la vanguardia y en las mejores condiciones para defenderse contra ataques cibernéticos sofisticados.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
Deep dive into the Stryker cyberattack and the blind spot few are talking about
Prayukth K V
How Iranian threat actors are operating without connectivity
Prayukth K V
As global conflicts escalate, APT playbooks are quietly changing
Prayukth K V
Iranian threat actors return; actually they never left
Prayukth K V
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
