4 lecciones de "Hack the Port" sobre la ciberseguridad de "infraestructura esencial"

Los líderes y especialistas en ciberseguridad se reunieron recientemente en Hack the Port en Ft. Lauderdale, Florida, para hablar sobre las amenazas en evolución a los puertos (un sector clave en la infraestructura esencial de la nación) y cómo protegerlos mejor. El evento llega en un momento en el que el mundo observa el desarrollo del conflicto entre Rusia y Ucrania, lo que origina nuevas advertencias de la administración respecto a que pueden ocurrir ataques cibernéticos fuera de esta zona de guerra, por lo que los propietarios y operadores de infraestructuras esenciales deben acelerar sus esfuerzos por bloquear los accesos digitales.

En Hack the Port quedó en claro que existen temas clave que cualquier propietario y operador de infraestructura clave (ya sea del sector público o privado) debe tener en cuenta para bloquear los accesos digitales. Dichos temas se describen aquí.

Los hackers con pocos recursos pueden causar un gran impacto

El costo de entrada de los ataques se desplomó. Vemos que adversarios con pocos recursos tienen un gran impacto en las infraestructuras esenciales objetivo, de en torno a USD 4.24 millones en promedio de costo por vulneración. Por ejemplo, el hackeo que afectó el oleoducto más grande de los EE. UU. y llevó al desabastecimiento en la costa este fue el resultado de una sola contraseña comprometida que se halló en la dark web y dio acceso a los hackers a la VPN de la empresa sin la autenticación multifactor. Sumado a una cadena de suministro frágil por los estragos de la pandemia y un incidente de encallamiento de un importante buque carguero, los hackers se están aprovechando del dinamismo de un mundo diferente.

Lo que aprendemos de cada incidente cibernético es que los datos son la nueva arma de los hackers. A fin de evitar o mitigar sus esfuerzos, los defensores cibernéticos deben recopilar tantos datos propios como sea posible para poder analizarlos, actuar sobre ellos y compartirlos como inteligencia de amenazas. Con la oferta de Limitless XDR de Elastic, que unifica la gestión de eventos e información de seguridad (SIEM), endpoint y seguridad del cloud, los defensores acceden a reglas de detección, código de endpoints y otros artefactos de protección de millones de usuarios dentro de la plataforma gratuita y abierta de Elastic. Estos artefactos son procesables y muy asequibles para los usuarios, desde pequeñas empresas hasta ramas del servicio militar. Los usuarios nuevos pueden beneficiarse del mismo modo con Limitless XDR en el cloud, en cuestión de minutos, sin necesidad de ningún hardware.

Conectado o desconectado, se debe proteger

Los puertos y sistemas de control marítimo, como otra infraestructura esencial, dependen de redes de tecnología operativa (OT) heredada y dispositivos de Internet de las cosas (IoT) además de tecnología de la información (IT), pero tienen una cantidad limitada de miembros de personal que se especializan en OT. Lo que preocupa, entonces, es que solo en 2020 hubo 500 incidentes importantes dirigidos a OT de infraestructura esencial. Además, muchos sistemas de control marítimo se ejecutan en entornos desconectados, intermitentes y limitados (DIL), y no tienen conectividad una vez que están a flote. Estos sistemas DIL pueden intentar usar satélites de órbita baja para obtener conectividad, lo que introduce mayor complejidad a la huella cibernética.

Ya sea que se encuentre conectado o desconectado, lo importante es comprender la composición de la infraestructura esencial para protegerla. Los eventos como Hack the Port son importantes porque en ellos se expone a audiencias más amplias lo que históricamente ha estado reservado a la industria en sí. También se brinda la oportunidad de debatir sobre la transferencia de tecnología, como soluciones relacionadas con lo militar que pueden aplicarse para desafíos de infraestructura esencial. Por ejemplo, con Elastic, ejecutar modelos de machine learning de forma local en endpoints DIL en lugar de usar un enfoque basado en firmas de malware permite a los endpoints mantenerse protegidos, mientras que tradicionalmente los endpoints desconectados tendrían firmas desactualizadas y estarían en riesgo. Además, con las colas configurables y la arquitectura distribuida por diseño, los datos y la telemetría pueden ponerse en cola en el perímetro si y cuando las comunicaciones de red no están disponibles. Cuando se restauran las comunicaciones, los datos pueden pasarse sin problemas desde el endpoint hasta el cluster, sin pérdida de datos debido a problemas de comunicación.

El cumplimiento con la ciberseguridad no es trabajo inútil

En sus observaciones en Hack the Port, Jen Easterly, directora de la Agencia de Seguridad de Infraestructura Esencial (CISA), se refirió a los puertos como "punto débil" en la infraestructura esencial de Estados Unidos y a que la importancia de asegurarlos no puede subestimarse porque por ellos pasan USD 5.4 billones al año, que representan un cuarto del producto bruto interno de los EE. UU. La CISA proporciona a los propietarios y operadores de infraestructura esencial una gran cantidad de inteligencia de amenazas, capacitación y recursos, y es la fuerza líder detrás del decreto ejecutivo (EO) de la administración sobre mejora de la ciberseguridad de la nación. En este EO se describen varios estándares y requisitos que las agencias civiles federales, que trabajan en conjunto con el sector privado, deben cumplir para promover un ciberespacio más seguro.

Los estándares y requisitos del EO proporcionan una base sólida para la ciberseguridad de infraestructuras esenciales, ya sea que los propietarios u operadores estén sujetos a este o no. En Elastic, comprendemos que estos propietarios y operadores se desarrollan con maquinarias y logística, que no necesariamente se ciñen a los estándares y requisitos. Es por eso que describimos algunas áreas que deben abordarse de inmediato para bloquear los accesos digitales con una plataforma única. Echa un vistazo a nuestro resumen de la industria para comprender cómo ayudamos a las organizaciones a cumplir o superar los requisitos de cumplimiento relacionados con la gestión de logs de eventos, la detección y respuesta de endpoint (EDR), y la adopción segura del cloud con confianza cero.

Evaluación de la fuerza de trabajo cibernética con reclutamiento variado de talentos

En un estudio de (ISC)2 se reveló que se está progresando en el abordaje de la falta de fuerza de trabajo de ciberseguridad global: hubo 700 000 nuevos ingresantes que se unieron al campo desde 2020. Sin embargo, también se estima que la fuerza de trabajo de ciberseguridad debe aumentar un 65 % para defender de forma efectiva los activos esenciales de las organizaciones. Los propietarios y operadores de infraestructura esencial, en particular, deben evaluar continuamente sus necesidades de fuerza de trabajo de ciberseguridad. Los recursos de organizaciones como la Oficina de Administración de Personal de los EE. UU. están disponibles para ayudar a las partes interesadas en ciberseguridad a identificar roles de trabajo de gran necesidad y precisar los déficits de habilidades más críticos de la fuerza de trabajo.

Los propietarios y operadores de infraestructura esencial también deben invertir en capacitar a la próxima generación de defensores cibernéticos para responder a la próxima generación de amenazas cibernéticas. MISI, la organización detrás de Hack the Port, comprende bien esto y usa las soluciones de Elastic Security para brindar a diversos talentos tiempo en el objetivo con escenarios cibernéticos del mundo real. Elastic también está comprometido con unir los puntos en cuanto a diversidad en el reclutamiento de ciberseguridad y organiza regularmente eventos Capture the Flag, además de su programa sólido de capacitación. Las habilidades cibernéticas que se aprenden en estos tipos de programas pueden volver a usarse en asignaciones nuevas, una verdadera ventaja del software gratuito y abierto.

Tomar medidas respecto a los temas de "Hack the Port"

Ahora que finalizó Hack the Port, Elastic está listo para brindar soporte a los propietarios y operadores de infraestructura esencial marítima y de otro tipo en la aplicación de los temas de ciberseguridad que se presentaron en la conferencia. Te recomendamos echar un vistazo a nuestra demostración de Limitless XDR y, cuando estés listo para tomar medidas, contáctanos a federal@elastic.co o inicia tu prueba del cloud autorizada por FedRAMP aquí.

Blogs relacionados:

• Forrester nombra a Elastic como una de las empresas con Mejor desempeño en el Wave de detección y respuesta de endpoint
• A single platform for US Government security and logging compliance (Una plataforma única para el cumplimiento de logging y seguridad del Gobierno de los EE. UU.)