Nozomi Networks Labs revela un drástico aumento del 123% en amenazas de control de acceso y autorización en entornos OT e IoT

Las anomalías y los ataques a la red son la amenaza más frecuente para los entornos OT e IoT, según una nueva investigación de Nozomi Networks Labs.

El último informe de seguridad OT e IoT de Nozomi Networks Labs revela que las anomalías y los ataques a la red fueron la amenaza más frecuente para los entornos OT e IoT. Las vulnerabilidades dentro de la fabricación crítica también aumentaron un 230%, un motivo de preocupación ya que los actores de amenazas tienen muchas más oportunidades de acceder a las redes y causar estas anomalías.

Telemetría del mundo real

La telemetría exclusiva de Nozomi Networks Labs, recopilada de entornos OT e IoT que abarcan una variedad de casos de uso e industrias en 25 países, revela que las anomalías y los ataques a la red representaron la parte más significativa (38%) de las amenazas durante la segunda mitad de 2023. Las más preocupantes de estas anomalías de red, que pueden indicar la participación de actores de amenazas muy sofisticados, aumentaron un 19% con respecto al período del informe anterior.

Los "escaneos de red" encabezaron la lista de alertas de Anomalías y Ataques a la Red, seguidos de cerca por los ataques de "inundación TCP", que implican el envío de grandes cantidades de tráfico a sistemas con el objetivo de causar daños derribando esos sistemas o haciéndolos inaccesibles. Los tipos de alerta "inundación TCP" y "paquetes anómalos" mostraron aumentos significativos tanto en el total de alertas como en la media por cliente en los últimos seis meses, aumentando más de 2x y 6x respectivamente.

"Estas tendencias deberían servir de advertencia de que los atacantes están adoptando métodos más sofisticados para atacar directamente las infraestructuras críticas, y podrían ser indicativas de un aumento de las hostilidades a escala mundial", afirma Chris Grove, Director de Estrategia de Ciberseguridad de Nozomi Networks. "El significativo repunte de las anomalías podría significar que los actores de la amenaza están superando la primera línea de defensa y penetrando más profundamente de lo que muchos habrían creído inicialmente, lo que requeriría un alto nivel de sofisticación. Los defensores han mejorado en la protección contra lo básico, pero estas alertas nos indican que los atacantes están evolucionando rápidamente para burlarlas".

Las alertas sobre amenazas de control de acceso y autorización se dispararon un 123% con respecto al periodo del informe anterior. En esta categoría, las alertas de "múltiples inicios de sesión fallidos" y "ataques de fuerza bruta" aumentaron un 71% y un 14%, respectivamente. Esta tendencia pone de manifiesto los continuos retos que plantean los intentos de acceso no autorizado, lo que demuestra que la gestión de identidades y accesos en OT y otros retos asociados a las contraseñas de los usuarios persisten.

A continuación figura la lista de las principales actividades de amenazas críticas observadas en entornos reales durante los últimos seis meses:

- Anomalías y ataques a la red - 38% de todas las alertas
- Problemas de autenticación y contraseñas - 19% de todas las alertas
- Problemas de control de acceso y autorización - 10% de todas las alertas
- Amenazas específicas de tecnología operativa (OT) - 7% de todas las alertas
- Comportamiento sospechoso o inesperado de la red - 6% de todas las alertas

Vulnerabilidades de ICS

Con este pico de anomalías en la red en mente, Nozomi Networks Labs ha detallado las industrias que deberían estar en máxima alerta, basándose en el análisis de todos los avisos de seguridad ICS publicados por CISA en los últimos seis meses. La industria manufacturera encabeza la lista, con un número de vulnerabilidades y exposiciones comunes (CVE) en ese sector que asciende a 621, lo que supone un alarmante aumento del 230% con respecto al período del informe anterior. La industria manufacturera, la energía y el agua/aguas residuales siguieron siendo los sectores más vulnerables por tercer periodo de notificación consecutivo, aunque el número total de vulnerabilidades notificadas en el sector de la energía descendió un 46% y el de agua/aguas residuales un 16%. Las instalaciones comerciales y las comunicaciones se situaron entre los cinco primeros, sustituyendo a la alimentación y la agricultura y a los productos químicos (que salieron de los 10 primeros). Cabe destacar que Sanidad y Salud Pública, Instalaciones Gubernamentales, Sistemas de Transporte y Servicios de Emergencia figuran entre los 10 primeros. En el segundo semestre del año pasado:

- CISA publicó 196 nuevos avisos de ICS que cubrían 885 vulnerabilidades y exposiciones comunes (CVE), un 38% más que en el semestre anterior.
- 74 proveedores se vieron afectados, un 19% más.
- Las vulnerabilidades de lectura fuera de los límites y de escritura fuera de los límites se mantuvieron entre las principales CVE por segundo período consecutivo; ambas son susceptibles de diversos ataques, incluidos los de desbordamiento del búfer.

Datos de Honeypots IoT

Nozomi Networks Labs también analizó una gran cantidad de datos sobre actividades maliciosas contra dispositivos IoT, revelando varias tendencias notables a tener en cuenta por estas industrias. Según los resultados, los botnets maliciosos de IoT siguen activos este año, y los botnets continúan utilizando credenciales predeterminadas en sus intentos de acceder a los dispositivos IoT.

Desde julio hasta diciembre de 2023, los honeypots de Nozomi Networks encontraron:

- Una media de 712 ataques únicos diarios (un descenso del 12% en la media diaria que vimos en el periodo de informe anterior) - el día de ataque más alto alcanzó los 1.860 el 6 de octubre.
- Las principales direcciones IP atacantes estaban asociadas a China, Estados Unidos, Corea del Sur, India y Brasil.
- Los intentos de fuerza bruta siguen siendo una técnica popular para obtener acceso al sistema: las credenciales predeterminadas siguen siendo una de las principales formas en que los actores de amenazas obtienen acceso a IoT. La ejecución remota de código (RCE) también sigue siendo una técnica popular, utilizada con frecuencia en ataques dirigidos, así como en la propagación de diversos tipos de software malicioso.

El informe de Nozomi Networks Labs "OT & IoT Security Report - February 2024" ofrece a los profesionales de la seguridad las últimas perspectivas necesarias para reevaluar los modelos de riesgo y las iniciativas de seguridad, junto con recomendaciones prácticas para proteger las infraestructuras críticas. (Nozomi Networks)