Informe: Aumentan los ciberataques contra el sector energético y de servicios públicos dentro de las redes informáticas empresariales.

Vectra ha anunciado hoy que, aunque los sistemas de control industrial están en el punto de mira, la mayoría de los ciberataques contra empresas energéticas y de servicios públicos se producen y tienen éxito dentro de las redes informáticas de las empresas, y no en las infraestructuras críticas.

Publicados en el informe Vectra 2018 Spotlight Report on Energy and Utilities, estos y otros hallazgos clave subrayan la importancia de detectar comportamientos amenazantes ocultos dentro de las redes informáticas empresariales antes de que los ciberatacantes tengan la oportunidad de espiar, propagarse y robar. Estos comportamientos amenazantes revelan que las campañas de ataque cuidadosamente orquestadas se producen a lo largo de muchos meses.

Los ciberdelincuentes llevan años lanzando campañas de ataques cuidadosamente orquestadas contra las redes de energía y servicios públicos. Estas misiones de reconocimiento, que a menudo duran varios meses, son lentas y silenciosas, y consisten en observar el comportamiento de los operadores y elaborar un plan de ataque único.

«Cuando los atacantes se mueven lateralmente dentro de una red, se expone una superficie de ataque mayor que aumenta el riesgo de adquisición y filtración de datos», afirma Branndon Kelley, director de informática de American Municipal Power, una empresa sin ánimo de lucro dedicada a la generación de energía eléctrica que presta servicio a municipios de nueve estados que poseen su propio sistema eléctrico. «Es imprescindible supervisar todo el tráfico de la red para detectar estos y otros comportamientos de los atacantes de forma temprana y constante».

Los atacantes remotos suelen introducirse en las redes de energía y servicios públicos mediante la instalación de malware y phishing para robar credenciales administrativas. Una vez dentro, utilizan conexiones y protocolos administrativos para realizar reconocimientos y propagarse lateralmente en busca de datos confidenciales sobre sistemas de control industrial.

«El uso indebido encubierto de credenciales administrativas proporciona a los atacantes un acceso sin restricciones a los sistemas y datos de infraestructura crítica», afirma David Monahan, director gerente de investigación de seguridad y gestión de riesgos de Enterprise Management Associates. «Esta es una de las áreas de riesgo más importantes en el ciclo de vida de los ciberataques».

Otras conclusiones clave del Informe Spotlight 2018 sobre Energía y Servicios Públicos son:

• Durante la fase de comando y control del ataque, se detectaron 194 comportamientos de acceso remoto externo por cada 10.000 dispositivos host y cargas de trabajo.
• Se detectaron 314 comportamientos de ataque de movimiento lateral por cada 10 000 dispositivos host y cargas de trabajo.
• En la fase de exfiltración del ciclo de vida del ciberataque, se detectaron 293 comportamientos de contrabando de datos por cada 10.000 dispositivos host y cargas de trabajo.

El informe Spotlight 2018 de Vectra se basa en observaciones y datos del informe Attacker Behavior Industry Report (Informe sobre el comportamiento de los atacantes en el sector) de la edición de la conferencia Black Hat 2018, que revela los comportamientos y tendencias de los atacantes en las redes de más de 250 organizaciones empresariales participantes del sector de la energía y los servicios públicos, así como de otros ocho sectores.

Entre enero y junio de 2018, la plataforma de detección y búsqueda de amenazas Cognito de Vectra supervisó el tráfico de red y recopiló metadatos de más de 4 millones de dispositivos y cargas de trabajo de entornos cloud, centros de datos y empresas de clientes. El análisis de estos metadatos proporciona una mejor comprensión de los comportamientos y tendencias de los atacantes, así como de los riesgos empresariales, lo que permite a los clientes de Vectra evitar violaciones de datos catastróficas.

La plataforma Cognito de Vectra permite a las empresas detectar y buscar automáticamente ciberataques en tiempo real. Cognito utiliza inteligencia artificial para realizar una búsqueda ininterrumpida y automatizada de amenazas con modelos de comportamiento en constante aprendizaje, con el fin de encontrar de forma rápida y eficaz a los atacantes ocultos y desconocidos antes de que causen daños. Cognito proporciona una visibilidad completa del comportamiento de los ciberatacantes, desde las cargas de trabajo cloud los centros de datos hasta los dispositivos de los usuarios y el IoT, lo que deja a los atacantes sin ningún lugar donde esconderse.

Cognito Detect y su homólogo de IA, Cognito Recall, son los pilares de la plataforma Cognito. Cognito Detect automatiza la detección en tiempo real de atacantes ocultos, al tiempo que proporciona a Cognito Recall punto de partida lógico para realizar la búsqueda de amenazas asistida por IA y llevar a cabo investigaciones concluyentes de incidentes.