Desempaquetando la Publicación Especial SP 1334 ipd de NIST sobre la Protección de la Tecnología Operacional de los Riesgos de los Medios de Almacenamiento Portátiles

El primer borrador de la Publicación Especial SP 1334 del Instituto Nacional de Estándares y Tecnología (NIST) fue emitido por NIST para consulta pública hace unas semanas. Este borrador describe muchas medidas para reducir los riesgos de ciberseguridad que surgen del uso de medios de almacenamiento portátil en entornos de Tecnología Operacional.

Problema único de seguridad OT

Los medios de almacenamiento portátiles, incluidos las unidades flash USB, los discos duros externos e incluso los CDs en algunos casos, se están utilizando para transferir datos dentro y fuera de los entornos de Tecnología Operacional (OT) y para parches en sistemas aislados. Sin embargo, su conveniencia también introduce riesgos significativos de ciberseguridad. Para minimizar la probabilidad de un ciberataque, el Centro Nacional de Excelencia en Ciberseguridad (NCCOE) ha recomendado una serie de controles de ciberseguridad para el personal de OT a través de la Publicación Especial SP 1334 ipd de NIST.

Antes de profundizar en los controles recomendados, es esencial comprender por qué los medios de almacenamiento portátiles representan una amenaza única para los sistemas OT.

· El uso de USBs y/o otros medios de almacenamiento portátiles a menudo no es destacado por los usuarios en el piso de producción. Por lo tanto, su uso a menudo no está regido por ninguna política directriz

· Los USBs no son probados para detectar malware OT o no son probados en absoluto antes de ser introducidos en una red

· Hemos visto informes de auditoría de seguridad donde el uso de medios de almacenamiento portátiles no se mencionó en absoluto en la red OT, mientras que sí se mencionó en el informe de auditoría en TI. Más razones por las que necesita hablar con el proveedor adecuado de evaluación y auditoría de seguridad OT.

· En la mayoría de las simulaciones de respuesta a incidentes y ejercicios de seguridad, a menudo no se considera un incidente que surge del uso de una unidad USB, y esto se convierte en un punto ciego para los equipos de seguridad OT y líderes. Por esta razón también necesita hablar con un proveedor de simulación de respuesta a incidentes que comprenda su entorno único y madurez de seguridad OT.

· Los medios de almacenamiento portátiles a menudo se utilizan en diferentes sistemas y entornos, aumentando la probabilidad de la introducción cruzada de malware y/u otras amenazas.  

Ahora veamos algunos de los controles de ciberseguridad propuestos por NIST en SP 1334 y algunas de las sugerencias que nos gustaría ofrecer para fortalecer los controles.

Controles Procedimentales

Las organizaciones deben implementar políticas para gestionar el uso de medios de almacenamiento portátiles. Esto incluye:

· Desarrollar políticas para la adquisición, autorización y gestión de medios propiedad de la organización. Los dispositivos de fuentes externas deben considerarse no confiables.

· Adquirir dispositivos que soporten estándares de cifrado basados en hardware.

· Limitar el uso de medios a personal autorizado y propósitos específicos.

· Crear procedimientos para la provisión, uso, almacenamiento, saneamiento y destrucción de medios.

· Habilitar el registro para rastrear identidad del sistema y del usuario, números de serie de dispositivos, y fechas de uso.

· Capacitar al personal en todas las políticas y procedimientos.

Recomendaciones de Shieldworkz:

· Las unidades USB deben ser desincorporadas dentro de un período de tiempo determinado

· Además de registrar el uso, también se debe documentar el motivo específico por el cual se utilizó el dispositivo de almacenamiento portátil

· No se deben usar dispositivos de fuentes externas

Controles Físicos

Los controles físicos son esenciales para gestionar el acceso, etiquetado y almacenamiento de los medios de almacenamiento portátiles.

· Los medios deben almacenarse en un lugar físicamente seguro accesible solo para individuos autorizados.

· Los medios aprobados deben estar claramente etiquetados, indicando quién puede usarlos, en qué red o sistema puede utilizarse, y su propósito funcional.

· Un espacio de almacenamiento designado para medios aprobados es una parte clave de un sistema de control físico fuerte.

Recomendaciones de Shieldworkz:

· El etiquetado debe ser a prueba de manipulaciones

· El sistema de almacenamiento designado debe ser inventariado periódicamente y deben contarse todos los dispositivos

Controles Técnicos

Las organizaciones deben establecer controles técnicos consistentes con NIST SP 800-82. Esto incluye:

· Bloqueo o desactivación de puertos no autorizados, como puertos USB y unidades de CD/DVD, utilizando bloqueos físicos o desactivación lógica.

· Escaneo de medios con software de detección de malware actualizado antes y después de su uso. Para dispositivos que no admiten escaneo, se pueden usar soluciones de quiosco.

· Reformateo de dispositivos antes de reutilizarlos en diferentes equipos o entornos.

· Usar protección contra escritura cuando solo se necesita leer archivos.

· Deshabilitar funciones de Autorun.

· Cifrar datos en medios portátiles usando un algoritmo compatible con FIPS.

Recomendaciones de Shieldworkz:

· El escaneo debe realizarse con un software de detección de malware que también pueda detectar malware específico de OT

Implementando una combinación de controles físicos, procedimentales y técnicos seguros, las organizaciones pueden reducir significativamente los riesgos de ciberseguridad que presentan los medios de almacenamiento portátil en los entornos OT. Esto incluye asegurar el acceso, almacenamiento y uso de dispositivos, así como proporcionar capacitación sobre utilización segura y efectiva.

¿Quieres contribuir con orientación práctica sobre la protección de tecnología operativa y los riesgos de medios removibles? Consulta los detalles de la presentación y aplica para escribir para Shieldworkz.