Security Art Work

El sector logístico ha evolucionado los últimos años a despliegues más complejos donde existe un mayor flujo de comunicación entre sus elementos. Esta evolución es apreciable en sectores tan críticos como el marítimo donde, por ejemplo, en entornos portuarios existe un gran número de interconexiones para el intercambio de información entre una amplia gama de sistemas.

Los ejemplos reales muestran como cada vez hay más ciberataques dirigidos a empresas del sector marítimo. Por ello, es imprescindible el desarrollo de estrategias de ciberseguridad basadas en la protección de los sistemas, la detección de ataques y la capacidad de respuestas ante un incidente. Se debe considerar la ciberseguridad desde el diseño, pensando más allá de la funcionalidad y considerándola como un proceso que se debe incorporar al día a día de todas las compañías.

Dada la variedad de estándares de buenas prácticas para el sector o normativa de obligado cumplimiento surgidos en materia de ciberseguridad en el sector marítimo, la IACS (International Association of Classification Societies), organización no gubernamental de base técnica formada por once sociedades de clasificación marina más importantes, ha establecido nuevos requisitos unificados (UR E26 y E27) sobre la resistencia cibernética de los buques que se aplicarán a buques cuya construcción se contrate a partir del 1 de enero de 2024. La ciberseguridad pasará de ser un valor añadido a una exigencia del mercado.

La humanidad se enfrenta a nuevos desafíos que requieren, más que nunca, de una nueva visión integral. Por ello, todas las organizaciones, y la sociedad en general, se encuentran en mayor o menor medida inmersas en un proceso de transformación digital. Esta transformación está sustentada en la incorporación de la tecnología en todos los procesos de negocio de la organización y la hiperconectividad. Se ha producido una convergencia entre los Sistemas de Información (IT), los Sistemas de la Operación (OT) y las Tecnologías de Consumo (CT) dando lugar a un ecosistema interconectado en el que la afectación de un nodo puede tener implicaciones directas en toda la cadena.

Desde el punto de vista de la ciberseguridad, este mundo sistémico nos conduce a un escenario de alto riesgo. A medida que nuestros procesos de negocio tienen una mayor dependencia de la tecnología, aumenta el impacto de un posible ciberataque.

Durante el último trimestre de 2022 el equipo de Lab52 ha llevado a cabo un análisis en profundidad de las amenazas que han actuado durante el periodo, tanto de información de fuentes públicas como de fuentes privadas, y respaldándose en el estudio del contexto geopolítico de cara a la anticipación de posibles campañas.

A continuación, se presenta el informe del trimestre, el cual incluye las principales tendencias del periodo, junto el análisis de las amenazas de más alta sofisticación y los eventos geopolíticos de mayor importancia.

Toda la información obtenida y analizada por el equipo de ciberinteligencia Lab52 ha permitido generar inteligencia implementada en los servicios de seguridad de S2 Grupo.

El propósito de este artículo es analizar de qué forma se aplican en la industria las capacidades de seguridad de protocolos en general, viendo el caso particular de Zigbee.

Si se desea más información sobre las capacidades de seguridad de Zigbee, se puede encontrar en este siguiente artículo de Incibe.

Zigbee: qué es

Zigbee es un protocolo inalámbrico basado en el estándar IEEE802.15.4, cuyas principales características es que tiene una latencia muy baja, utiliza bandas de frecuencia médicas, industriales y científicas sin licencia, y tiene un consumo energético muy bajo, lo que es extremadamente útil en dispositivos IoT, dado que su autonomía es mayor que otros protocolos inalámbricos.

Está muy presente en domótica y, poco a poco, se está introduciendo también en industria, medicina y otros campos. En este artículo vamos a ver principalmente 3 dispositivos Schneider basados en Zigbee.

Su rango de cobertura varía entre los 10 y 75 metros.

En los anteriores artículos (parte I, parte II) se ha descrito teóricamente un modelo de cobertura basado en la caracterización de una Unidad de Inteligencia de Threat Hunting, así como la interpretación de las tácticas de MITRE ATT&CK como escenarios estadísticamente independientes para la detección de una amenaza. El presente artículo se expondrá una aplicación práctica del modelo para la detección de APTX.

El documento completo de la investigación puede leerse en el siguiente enlace: https://www.academia.edu/89640446/Threat_Hunting_Probability_based_model_for_TTP_coverage

Modelo de cobertura de Threat Hunting

En primer lugar, se tomará el resultado facilitado por el equipo de Threat Intelligence. Dicho resultado debe ser una priorización de técnicas y una valoración sobre 1 del peso de cada una de las técnicas respecto la táctica. En este caso, para la táctica de Initial Access, ha priorizado un total de 8 técnicas/subtécnicas, asignándole los siguientes valores:

En el artículo anterior se ha establecido el objetivo de una Unidad de Inteligencia de Threat Hunting, así como realizado un estudio sobre la medición de su valor en función de su cobertura y eficiencia. En el presente se pretende utilizar dichos cálculos para establecer una cobertura a nivel de táctica y poder dibujar el modelo probabilístico de una organización respecto a un grupo APT. Puede leerse la investigación completa aquí.

Cobertura a nivel de Táctica

Si para la medición de la cobertura a nivel de Táctica se llevará a cabo el mismo ejercicio, el resultado sería una priorización de Técnicas en función del número de grupos que han utilizado cada una.  Este tipo de aproximación ofrece una perspectiva general sobre cualquier tipo de amenaza.

El mercado cambia de forma vertiginosa, y el acceso a contenidos, al igual que la divulgación de los mismos, es cada vez más sencillo. Pero eso no quiere decir que no haya riesgos implícitos como por ejemplo la posible publicación de información ilícita. Por ello, la Ley de Servicios Digitales o también conocida como DSA (PDF), tiene como objetivo último promover un entorno online más seguro brindando por ejemplo:

En virtud de lo determinado en el Considerando 5 del Reglamento, las obligaciones de la DSA serán de aplicación a determinados servicios de la sociedad de la información definidos en la Directiva (UE) 2015/1535, es decir, cualquier servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición de un destinatario a título individual.

Hace unos años, la arquitectura de red convencional incluía un Directorio Activo y algunos servicios importantes como: correo electrónico, aplicaciones, servicios compartidos, etc. Sin embargo, como todos estamos viendo a diario, ese modelo ya forma parte de la prehistoria informática. Ahora, lo que más nos encontramos son entornos Cloud. Ambos permiten a los usuarios acceder a los recursos corporativos desde cualquier parte del mundo y desde cualquier dispositivo, evitando la necesidad de tener que pasar por la VPN y reduciendo así los costes que conlleva mantener estos servicios. ¡Lo que tampoco viene nada mal, ¿no?!

Entre los componentes que forman parte del escenario híbrido, debemos tener en cuenta un agente conocido como ADConnect, ya que es el que permite que se sincronicen ciertos recursos locales con los servicios SaaS de Microsoft 365, como por ejemplo el correo electrónico. 

Por tanto, si recapitulamos, hemos pasado de tener un servicio crítico, que era el Directorio Activo de la organización, a tres servicios críticos: Directorio Activo local u On-Premise, Directorio Activo en Azure y servicios de Microsoft 365. Sin embargo, obviamente todos estos cambios en los entornos han afectado a otros ámbitos de la ciberseguridad:

1. La seguridad perimetral conocida hasta ahora se ha tenido que adaptar. La perpetua herramienta de monitorización y prevención de ataques, nuestro querido SNORT (NIDS) y la monitorización de conexiones basadas en direcciones IP, se echan a un lado para dar paso a una nueva era basada en la geolocalización y las identidades de los usuarios.
2. Los atacantes se han visto obligados a cambiar las técnicas que utilizaban hasta ahora para poder enfrentarse a sus nuevos y desconocidos objetivos, y precisamente eso es lo que hemos venido a aprender aquí: una técnica de ataque basada en la cadena de suministros (Supply Chain Attack) para un entorno de Microsoft Azure.

Para ello, vamos a detallar la taxonomía del ataque, elaborada a partir de MITRE | ATT&CK, y que habrá que adaptar en función de la arquitectura de cada organización:

En la actualidad existen muchas conferencias de seguridad (CON, como nos gusta llamarlas) tanto en España con el resto del mundo, y la mayoría seleccionan las charlas que se van a dar a través de un proceso abierto que se denomina CFP (Call For Papers).  Un CFP es un proceso abierto en el que cualquiera puede presentar una propuesta de charla, y a través de un comité de selección se eligen las que se consideran más apropiadas.

Presentar una charla a una CON tiene múltiples beneficios: en primer lugar, en España tienes una entrada gratis a la CON (y en casi todos los casos la Organización te paga el viaje y la estancia). Luego tenemos la obvia promoción tanto propia (se habla todavía de algunas charlas épicas de algunas CON de años pasado) como de la empresa para la que trabajas, y a mí me gustaría destacar el hecho de que presentar NO ES FÁCIL: implica tener el tema muy dominado, lo que obliga a aprender cosas nuevas, hacer pruebas, tener en cuenta casos límite… un trabajo de investigación que colabora enormemente a tu propio desarrollo. 

Tal y como se está percibiendo los últimos meses, el nivel de riesgo en la seguridad de las organizaciones va aumentando, especialmente en función del riesgo derivado de los acontecimientos políticos. Del mismo modo que en el contexto de la seguridad de un país tenemos diferentes niveles de seguridad en función de la probabilidad de amenaza, muchas veces nos encontramos en la misma tesitura dentro del ámbito TI de una organización.

Bien sea debido a una vulnerabilidad publicada que afecta a los sistemas de la organización, a la exposición en los medios de la organización o por el aumento de la beligerancia por parte de actores de los cuales se es objetivo, en muchos casos la organización se encuentra con la necesidad de reforzar la dedicación a la monitorización de la seguridad.

Sin embargo, la correlación de los eventos de seguridad se encuentra fijada en unos valores predefinidos durante la fase de calibración y que, este refuerzo en los momentos necesarios se lleva a cabo a través de un análisis proactivo, es decir, a través de las acciones de Threat Hunting.

Dado que se conoce en qué casos se requiere dicho refuerzo, ¿no sería posible establecer unos parámetros sobre qué cómo y cuándo aumentar la criticidad de ciertos eventos?

Para dar respuesta a este planteamiento, se va a realizar un estudio para la ponderación de detección en red basado en la situación política contextual, que tendrá como resultado un modelo de correlador no estático, basado en la incorporación y procesado de entradas, tanto de inteligencia geopolítica como técnica.

La arquitectura que se va a describir es la siguiente: