KL ICS CERT: un año en servicio

Su primer aniversario es el momento ideal para explicar por qué es necesario nuestro ICS CERT, lo que hace y en qué se diferencia de otros.

Hace un año, presentamos nuestro propio centro de respuesta para ciberincidentes que afectan a instalaciones de infraestructura industrial y crítica: Kaspersky Lab ICS CERT. Decidimos que después de un año en funcionamiento, es el momento ideal de explicar en detalle por qué el centro es necesario, lo que hace y en qué se diferencia de los demás.

¿Por qué KL ICS CERT?

La tarea principal del ICS CERT es coordinar las actividades de los fabricantes de sistemas de control industrial (ICS por sus siglas en inglés), de los propietarios y operadores de instalaciones industriales y de los investigadores de la seguridad de la información. A pesar del poco tiempo que lleva activo nuestro centro, ya ha establecido varias relaciones laborales con los mayores jugadores del mercado ICS, con centros regionales de coordinación (como el US ICS-CERT en EE. UU y el JPCERT/CC en Japón) y con diferentes reguladores.

¿En qué se diferencia el centro ICS CERT de Kaspersky de los demás?

En primer lugar, todos los CERT (equipos de respuesta de emergencia ante ciberincidentes por sus siglas en inglés) en el campo de la ciberseguridad industrial son estructuras o divisiones estatales de los fabricantes de ICS. Los primeros están limitados por los intereses (en su mayoría territoriales) de sus estados y los últimos solo resuelven los problemas relacionados con sus propios productos. Nosotros no tenemos ninguna restricción.

En segundo lugar, es menos probable que otras operaciones CERT, en general, hagan su búsqueda de vulnerabilidades y su análisis exhaustivo del panorama de las amenazas. Sus esfuerzos se concentran en procesar la información sobre las amenazas recibidas externamente de, por ejemplo, otros investigadores y fabricantes de ICS. Nuestra situación no es la misma: Como somos una división del mayor proveedor mundial de seguridad informática, contamos con los recursos, las tecnologías y la experiencia para investigar vulnerabilidad y detectar amenazas por nuestra cuenta. Y, lo que es más importante, tenemos la experiencia necesaria. Después de todo, Kaspersky Lab ha liderado la lucha contra las ciberamenazas durante más de dos décadas y lleva varios años prestando especial atención a las amenazas industriales.

Procesamos big data sobre amenazas posibles y actuales provenientes de fuentes de todo el mundo y lo analizamos con herramientas y algoritmos de aprendizaje automático. Nuestro equipo de expertos termina de perfilar los resultados. Como resultado, nuestro ICS CERT identifica amenazas específicas de sistemas de control industrial.

¿Qué hace exactamente el ICS CERT de KL?

Nuestro CERT opera en varias áreas y cubre un gran espectro de tareas. Sus funciones principales son compartir conocimiento con la comunidad, demostrar las capacidades técnicas a los socios y promocionar el proyecto entre profesionales, ingenieros y operadores de la seguridad ICS.

Búsqueda de vulnerabilidades en los sistemas de control industrial. Nuestros expertos están constantemente investigando todo tipo de sistemas de control industrial y dispositivos industriales IdC, evaluando su nivel de seguridad y descubriendo nuevas vulnerabilidades. En el último año, hemos detectado más de 100 vulnerabilidades de día cero y hemos avisado a los fabricantes de las mismas. Gracias a nuestros esfuerzos, en octubre de este año, se han parcheado 54 de las vulnerabilidades que hemos encontrado, convirtiendo el mundo en un lugar un poco más seguro.
Los resultados de nuestra investigación y trabajo para descubrir las vulnerabilidades se publicaron en el informe anual del ICS-CERT estadounidense. Recientemente, MITRE reconoció a nuestra empresa como autoridad en el campo de las vulnerabilidades (CVE Numbering Authority, o CNA). Como resultado, Kaspersky Lab se incorporó a la lista de CNA como investigador de seguridad. Somos la sexta organización en el mundo con este estatus.

Identificar y analizar las amenazas, mantener a la industria informada. Identificamos y analizamos ataques a empresas industriales (tanto los ataques dirigidos como los que suceden a nivel mundial, los cuales afectan a los sistemas ICS), investigamos las fuentes de infección de los sistemas SCADA y buscamos malware diseñado para sistemas industriales. También enviamos advertencias a los suscriptores y socios. En la web de nuestro CERT ya se han publicado dos informes semianuales sobre el estado de las ciberamenazas y se suelen publicar advertencias sobre amenazas identificadas e informes sobre ataques detectados en empresas industriales.

Investigar incidentes. Al investigar los ciberincidentes de las empresas industriales, rastreamos las causas, examinamos las herramientas y técnicas empleadas por los atacantes, ayudamos a poner remedio y ayudamos en la prevención de nuevos incidentes. Durante el pasado año, hemos estado ayudando a las empresas de varias industrias (metalúrgica, petroquímica, de construcción) de todo el mundo.

Valoramos el nivel de protección de los sistemas industriales. Nuestro CERT se especializa en la valoración del nivel de protección de los sistemas de control industrial. Además, desarrollamos herramientas para permitir a las empresas que prueben de manera independiente sus sistemas para buscar vulnerabilidades. En un futuro próximo, planeamos incrementar el número de dichas herramientas.

Cooperar con la industria y los reguladores públicos. Nuestros expertos son parte del proceso de desarrollo de requisitos para los reguladores estatales y de la industria a fin de garantizar la seguridad de informática de las instalaciones industriales. Durante el año pasado estuvimos trabajando con el IIC, el IEEE, el ITU y la OPC Foundation (los estándares y tecnologías que producen están muy influenciados por nuestros expertos).

Educar. Nuestro CERT desarrolla sesiones de formación para operadores ICS e ingenieros, así como para especialistas en seguridad informática empleada por empresas industriales. También trabajamos con instituciones educacionales. A principios de 2017, por ejemplo, nuestros expertos realizaron un taller de una semana sobre seguridad ICS para estudiantes, graduados y maestros en MIT. Actualmente se está preparando el próximo taller, previsto para enero-febrero de 2018 y esperamos desarrollar uno en noviembre de 2017 en la Universidad de California, Berkeley. Además, estamos desarrollando un programa de formación con la Fraunhofer Society y trabajando para crear un curso de máster en las universidades rusas.

Captura la bandera. Los concursos de seguridad informática en los que se simulan hackeos de varios sistemas de control industrial ofrecen una experiencia única y mejoran la comprensión de cómo proteger instalaciones críticas. Por ello, organizamos periódicamente competencias para especialistas en seguridad informática con el lema Industrial CTF (Capture the Flag).El primero de estos eventos se desarrolló a finales de 2016 y prácticamente solo participaron equipos rusos. Sin embargo, en la ronda de clasificación del segundo hubo más de 180 equipos pertenecientes a Rusia, China, India, Europa y Latinoamérica. La edición de 2017 atrajo todavía a más participantes, con casi 700 equipos de todo el mundo. La final fue el 24 de octubre de 2017, en Shanghái durante el desarrollo de la GeekPwn International Conference. Hubo equipos de Japón, Korea y China.

En resumen, podemos asegurar que el primer año del ICS CERT de Kaspersky Lab ha sido intenso, pero productivo. Felicidades a todos los empleados en su primer aniversario y ¡que los impresionantes resultados mejoren todavía más!

Consejos