Sistemas de detección de intrusos y anomalías de red no invasivos y BlackEnergy 3

Como se ha comentado en numerosas ocasiones, para incrementar la seguridad de los entornos de operación, no basta con incorporar contramedidas para la prevención, sino que es necesario desplegar sistemas específicos que faciliten la detección, la respuesta, la información y la recuperación.

Entre los sistemas que ayudan a detectar a responder y a informar de forma temprana de posibles amenazas, se encuentran los sistemas de detección de intrusos y anomalías de red no invasivos, específicos para entornos OT.

Se trata de soluciones que se despliegan en un appliance (HW + SW) que permiten la detección de intrusiones en la red OT de forma no invasiva (es decir no se instalan hosts/agentes en los sistemas de tiempo real), el descubrimiento de vectores de ataque basados en malware y la existencia de anomalías de protocolos industriales y de actividades de operación.

El sistema realiza estas actividades de forma inteligente. Esta última característica es clave. El sistema aprende del funcionamiento de la red de operación (esnifando tráfico mediante la activación de un puerto de un switch en modo “mirroring”), y establece una serie de patrones válidos. Si el sistema detecta algún comportamiento en la red que no corresponde con lo aprendido, inmediatamente lanza una alerta informando de dicha anomalía.

¿Qué tienen que ver estos sistemas con BlackEnergy3? Y por cierto, ¿qué es BlackEnergy3?
Como comentamos hace unos años en esta entrada, BlackEnergy fue el malware asociado a la APT Sandworm, que infectaba los servidores SCADA Web de la solución Cimplicity de General Electric. El ICS –CERT publicaba por entonces la alerta ICS-ALERT-14-281-01A. Si los sistemas no han sido actualizados, es muy probable que desde el año 2012, muchos de ellos sigan infectados.

Actualmente, aquellos sistemas que estén comprometidos, pueden verse afectados por el comportamiento que a continuación describimos.

Normalmente, las organizaciones han realizado proyectos de segmentación de redes, incorporando firewalls entre las redes de operación/críticas y las redes transaccionales (IT). Adicionalmente, si es necesario incorporar SCADA Web para realizar el acceso remoto, es normal crear una zona desmilitarizada con acceso a Internet. En la siguiente figura, se muestra de forma muy esquemática, una arquitectura en la que se ha obviado la red IT y se representa la red OT/crítica y una red en la que convergen servidores SCADA Web.

El equipo B está infectado por BlackEnergy. Aprovechando esta situación, el atacante quiere acceder al equipo A, ubicado en la red OT. Para ello utiliza el protocolo SMB (habitualmente autorizado en los firewalls que segmentan redes LAN para permitir intercambio y compartición de ficheros). Entre las dos máquinas se intercambian RPC sobre SMB. Este tipo de intercambio, permite a BlackEnergy 3 utilizando las RPC a acceder a los equipos que están en la red crítica y a partir de ahí tomar el control del proceso, extraer información confidencial, etc.

Como puede intuirse, este tipo de comportamientos del protocolo SMB y de intercambio de RPC, no debería considerarse normal. Si una organización tuviera desplegado un sistema que permitiera detectar estas anomalías de tráfico y de comunicaciones entre dispositivos y/o protocolos, podría tomar las medidas oportunas para aislar los equipos, reconfigurar los firewalls, actualizar si es posible el sistema SCADA Web.

Desde Logitek, prescribimos la solución LK CyberSense como sistema de detección de intrusos y anomalías de red no invasivos. Si deseas conocer sus beneficios, ponte en contacto con nosotros.