Censys y GreyNoise han colaborado durante los últimos tres meses para arrojar nueva luz sobre las amenazas reales a las que se enfrentan los sistemas de control industrial (ICS) expuestos a Internet. En LABSCon 2024, compartieron sus hallazgos, desafiando algunas suposiciones de larga data sobre la seguridad de los ICS.
A principios de este año, los investigadores de Censys identificaron más de 40.000 dispositivos ICS conectados a Internet en Estados Unidos, entre ellos más de 400 interfaces hombre-máquina (HMI). Muchas de estas interfaces no requerían autenticación en el momento de la observación. Las interfaces hombre-máquina son fáciles de entender y manipular, lo que las convierte en objetivos fáciles para los agentes de amenazas que pretenden perturbar las operaciones. Dada la relativa facilidad de manipulación, teníamos curiosidad por conocer el tráfico de ataque real que reciben estas interfaces.
Para llevar a cabo la investigación preliminar, GreyNoise creó emulaciones hiperrealistas de HMI conectadas a Internet para sistemas de control críticos, camuflándolas por geografía y ASN. Se analizaron 45 días de datos para obtener estos sorprendentes y preocupantes resultados:
- Selección rápida: Las HMI conectadas a Internet fueron sondeadas y escaneadas más rápidamente que los sensores de control de referencia. Más del 30 % de las IP que tocaron las HMI antes que un sensor GreyNoise típico se identificaron posteriormente como maliciosas.
- Enfoque en el acceso remoto: Contrariamente a lo esperado, los atacantes se centraron principalmente en protocolos comunes de servicios de acceso remoto (RAS) en lugar de en protocolos de comunicación específicos de ICS. La computación virtual en red (VNC) despertó especial interés entre las amenazas.
Implicaciones para la seguridad de los ICS
Esta investigación pone de relieve una posible desconexión entre los riesgos percibidos y el comportamiento real de los actores de amenazas hacia los ICS expuestos a Internet. Aunque el sector se ha centrado durante mucho tiempo en proteger los protocolos de comunicación específicos de los ICS, la amenaza más acuciante puede residir en puntos de entrada más comunes y fáciles de explotar, como los servicios de acceso remoto. La rápida selección de objetivos sugiere una priorización del sondeo de estos dispositivos en línea.
Esta investigación subraya la importancia crítica de asegurar los servicios de acceso remoto como defensa de primera línea para los entornos ICS. La relativa facilidad para atacar estos puntos de entrada genéricos puede hacer innecesaria la explotación de protocolos ICS especializados.
GreyNoise y Censys tienen la intención de continuar esta investigación para saber más a partir de estos resultados experimentales.
