Con la incorporación de 8 nuevos protocolos, que elevan a 16 el número total de protocolos de tecnología operativa (OT),Censys descubre ahora más de 100.000 servicios OT de acceso público. La OT se define como los sistemas utilizados para gestionar las operaciones industriales. Esto incluye los sistemas de control industrial (ICS), pero también el software y los dispositivos utilizados para gestionar la infraestructura ICS.
Muchos de los protocolos utilizados para interactuar con los sistemas ICS se desarrollaron antes de que se generalizara la conectividad a Internet y carecen de mecanismos sólidos de autenticación o cifrado. La infraestructura que se utiliza con ellos también está envejeciendo: la edad media de una central eléctrica en Estados Unidos es de 29 años. Estas infraestructuras críticas han sido objeto de exitosas campañas de ciberataques, como el reciente hackeo de Colonial Pipeline. Este problema se agrava aún más por el hecho de que las organizaciones que utilizan OT suelen requerir la participación de proveedores para actualizar o modernizar un delicado ecosistema de maquinaria conectada cada varios años. En estos entornos, el air gapping y la segmentación de la red son algunas de las medidas de mitigación a corto plazo más comunes.
Protocolos OT más comunes
Podemos empezar consultando el conjunto de datos Universal Internet Dataset mediante BigQuery (una función de Censys Enterprise) para ver qué protocolos son de acceso público más frecuente. Esto también se puede explorar utilizando esta consulta en nuestra aplicación de búsqueda:
SELECT DISTINCT servicios.nombre_servicio , count(*) as ct
FROM `censys-io.universal_internet_dataset.universal_internet_dataset` JOIN UNNEST(services) AS services
WHERE DATE(snapshot_date) = "2021-08-03"
AND services.service_name IN (
"ATG",
"BACNET",
"CITRIX",
"CODESYS",
"DIGI",
"DNP3",
"EIP",
"FINS",
"FOX",
"GE_SRTP",
"IEC60870_5_104",
"MODBUS",
"PCWORX",
"PRO_CON_OS",
"S7",
"WDBRPC"
)
GROUP BY services.service_name
ORDER BY ct desc
Sigamos adelante y obtengamos el número de hosts únicos que ejecutan estos servicios cambiando nuestra consulta a:
SELECT COUNT(DISTINCT identificador_host.ipv4)
Nuestros resultados muestran un total de 110.246 servicios OT, que se ejecutan en 101.484 direcciones IPv4 únicas:
Sabemos por investigaciones previas que muchos servicios en Internet son pseudo-servicios que ejecutan el mismo servicio en cada puerto o honeypots que simulan tener un gran número de servicios en ejecución. Censys trunca alguna información de servicio para hosts que ejecutan >100 servicios. Filtremos esos hosts con servicios truncados añadiéndolos a nuestra consulta SQL:
AND NOT services.truncated = true
Ahora que tenemos información sobre los servicios, podemos calcular fácilmente qué porcentaje de los servicios de OT están truncados, por lo que probablemente no sean reales:
¡Más de la mitad de los servicios de Automated Tank Gauge (ATG) y Citrix parecen ser pseudo-servicios! Investiguemos un poco más utilizando nuestra aplicación de búsqueda, search.censys.io.
Filtrado de servicios legítimos
Utilizando el término de búsqueda "services.service_name: ATG", vemos inmediatamente una serie de hosts que se ejecutan en la nube de AWS con más de 200 servicios HTTP que se ejecutan en ellos. Es casi seguro que no se trata de servicios reales. Podemos eliminarlos de nuestra búsqueda añadiendo "and not services.truncated: true".
Profundicemos un poco más en la causa de la aparición de estos servicios ATG. Buscando más información sobre el protocolo, encontramos un honeypot ATG publicado en Blackhat en 2015. GasPot es una aplicación python que simula un medidor de tanque, aleatorizando sus valores para imitar el comportamiento de un host legítimo. Registra todos los intentos de conexión para su posterior análisis. La facilidad de ejecución de este honeypot es una explicación probable para el gran número de pseudoservicios ATG.
¿Dónde funcionan estos hosts?
Utilizando nuestra aplicación de búsqueda, podemos investigar un poco más a fondo dónde se ejecutan los hosts con un protocolo OT. Según los datos de Censys, el 40 % de los servicios que ejecutan protocolos OT se encuentran en Estados Unidos.
Desglosando las ubicaciones por ciudades, Estambul domina los resultados con 801 servicios. Casi el 1% de todos los protocolos OT se realizan allí.
La distribución de los servicios que funcionan en Estambul es un poco diferente de nuestra distribución general:
CODESYS, PCWORX, S7, IEC 60870-5-104 y Modbus están significativamente sobrerrepresentados en comparación con la distribución global, probablemente debido a diferencias en la infraestructura física utilizada. En este gráfico destacan la ausencia de BACnew y WDBRPC, que juntos representan el 20% de todos los servicios OT descubiertos en el Conjunto Universal de Datos de Internet.
También podemos visualizar la distribución global de hosts legítimos que exponen servicios OT utilizando kepler.gl:
Resumen
A pesar de los riesgos para la seguridad, los datos de Censysmuestran que los servicios de OT de acceso público siguen siendo habituales en Internet. Estos servicios suponen un riesgo para los datos de las empresas, la continuidad de las operaciones y la seguridad pública. Proteger los servicios OT y las infraestructuras críticas es un problema importante, y el Presidente Biden firmó un Memorándum de Seguridad Nacional sobre "Mejora de la ciberseguridad de los sistemas de control de infraestructuras críticas."
¿Qué puedo hacer al respecto?
Hay una serie de medidas que las organizaciones pueden adoptar a corto plazo para proteger sus redes.
- Practique políticas de segmentación de la red y aplique reglas de cortafuegos para evitar que los equipos de OT queden expuestos públicamente a Internet.
- Utilizar herramientas de registro de red para supervisar e identificar el tráfico saliente sospechoso.
- Asegúrese de que los servicios que deban ser de acceso público estén debidamente reforzados, utilizando un cifrado fuerte y autenticación multifactor.
- Vea sus rangos de IP en Censys Buscar y filtrar por protocolos OT.
- Utilice Censys ASM para la supervisión externa continua de su superficie de ataque, incluidos 16 protocolos OT comunes.
Censys Buscar datos
Censys ayuda a organizaciones, particulares e investigadores a encontrar y supervisar todos los servidores de Internet para reducir la exposición y mejorar la seguridad. El acceso a nuestros datos se proporciona a través de nuestra plataforma de búsqueda search.censys.io, a usuarios de la comunidad gratuitos y a través de una licencia comercial para clientes empresariales.
Censys Conjunto Universal de Datos de Internet
Censys Universal Internet Dataset (UIDS) es el principal conjunto de datos del sector sobre hosts y servicios en Internet. Las organizaciones utilizan UIDS para rastrear amenazas sofisticadas y defender superficies de ataque complejas. Acceda a Universal Internet DataSet y descubra "super" hosts y mucho más. Póngase en contacto con nosotros y solicite una demostración hoy mismo.
¿Le interesa investigar? También ofrecemos acceso a investigadores. Compruebe aquí si cumple los requisitos.
