Según el equipo82 de Claroty, el 38% de los sistemas ciberfísicos más arriesgados no son tenidos en cuenta por los métodos tradicionales de gestión de vulnerabilidades.
Claroty, la compañía de protección de sistemas ciber-físicos (CPS), ha publicado nuevos datos propios que revelan que el 38% de los activos CPS más arriesgados son pasados por alto por los enfoques tradicionales de gestión de vulnerabilidades, iluminando un importante punto ciego que está listo para ser explotado por los actores de amenazas. Para hacer frente a este punto ciego, Claroty está introduciendo una solución completa de gestión de la exposición CPS, que permite a las organizaciones minimizar su superficie de ataque mediante la priorización de las amenazas más inmediatas.
Las organizaciones están ciegas ante algunas de sus exposiciones más arriesgadas
Para comprender el alcance de la exposición y el riesgo asociado al que se enfrentan los entornos CPS, el galardonado grupo de investigación Team82 de Claroty analizó los datos de más de 20 millones de activos de tecnología operativa (OT), dispositivos médicos conectados (IoMT), IoT y TI en entornos CPS. La investigación se centró en los activos que se definen como de "alto riesgo", tienen una conexión a Internet insegura y contienen al menos una vulnerabilidad explotada conocida (KEV). Los investigadores definieron el "alto riesgo" como aquel que tiene una alta probabilidad y un alto impacto de ser explotado, basándose en una combinación de factores de riesgo como el estado de fin de vida, la comunicación con protocolos inseguros, vulnerabilidades conocidas, contraseñas débiles o por defecto, datos PII o PHI, consecuencia de un fallo, y varios otros.
Entre las principales conclusiones figuran:
- El 20% de los OT e IoMT tienen puntuaciones CVSSv3.1 de 9,0 o superiores, una métrica que representa el enfoque tradicional de la gestión de vulnerabilidades, que se basa únicamente en la versión 3.11 del sistema Common Vulnerability Scoring System. Este volumen es demasiado abrumador y exige demasiados recursos para que la mayoría de las organizaciones puedan abordarlo de forma realista, especialmente en los activos CPS con ventanas limitadas para la aplicación de parches, y no proporciona ninguna indicación de por dónde empezar los esfuerzos de corrección.
- El 1,6% de los OT e IoMT se definen como de "alto riesgo", tienen una conexión a Internet insegura y contienen al menos una KEV: el ápice de los factores de exposición que, juntos, suponen un peligro real e inminente para las organizaciones. Esto representa decenas de miles de activos CPS de alto riesgo a los que los actores de amenazas pueden acceder de forma remota y que contienen vulnerabilidades explotadas activamente en la naturaleza.
- De estos dispositivos OT e IoMT de riesgo ultra alto, el 38% no tiene una puntuación CVSS de 9,0 o superior, lo que significa que pasan desapercibidos para los métodos tradicionales de gestión de vulnerabilidades, pero están alarmantemente maduros para ser explotados por los actores de amenazas, lo que significa un punto ciego de alto riesgo para las organizaciones.
"Es importante comprender las implicaciones de cualquier número superior a cero a la hora de medir el riesgo asociado a los activos hiperexpuestos que se utilizan para controlar sistemas como la red eléctrica o para prestar asistencia vital a los pacientes", afirma Amir Preminger, vicepresidente de investigación de Team82 de Claroty. "Las organizaciones deben adoptar un enfoque holístico para la gestión de la exposición que se centre en las bombas de relojería de su entorno, porque incluso si de alguna manera dominaran la imposible tarea de abordar cada una de las vulnerabilidades CVSS 9.0+, seguirían pasando por alto casi el 40% de las amenazas más peligrosas para su organización."
Cerrar la brecha con la gestión de exposición nativa de CPS
Según Gartner®, "los responsables de seguridad siempre buscan mejores marcos y herramientas para reducir sus riesgos de ciberseguridad. Esto incluye un cambio de un enfoque únicamente preventivo a controles preventivos más maduros, que aumenten la estrategia, con capacidades de detección y respuesta. Los enfoques anteriores para gestionar la superficie de ataque ya no están a la altura de la velocidad digital, en una era en la que las organizaciones no pueden arreglarlo todo, ni pueden estar completamente seguras de qué vulnerabilidades pueden posponerse con seguridad. La gestión continua de la exposición a amenazas (CTEM) es un enfoque sistémico pragmático y eficaz para refinar continuamente las prioridades, caminando por la cuerda floja entre esos dos extremos imposibles".2
Para satisfacer las necesidades cambiantes de las organizaciones de fabricación, sanidad y otras infraestructuras críticas, Claroty presenta una solución completa de gestión de la exposición a CPS diseñada específicamente que, en opinión de Claroty, se ajusta al marco CTEM de Gartner. La solución equipa aún más a los clientes para comprender su postura actual de riesgo CPS, asignar sus recursos existentes para mejorarla de manera más eficiente y eficaz y, en última instancia, acelerar su viaje hacia la madurez de seguridad CPS, independientemente de su punto de partida.
Las capacidades clave incluyen:
- Inclusión de dispositivos CPS en programas de gestión de la exposición: Aproveche los métodos de recopilación de datos múltiples y los cálculos de riesgo a medida que tienen en cuenta el valor empresarial relativo de los diferentes aspectos del proceso de producción. Este enfoque sienta las bases para que el alcance de la red proteja áreas que pueden ser puntos ciegos para las soluciones empresariales tradicionales y tenga en cuenta los resultados operativos a la hora de priorizar los controles de seguridad.
- Detección de CPS y evaluación de vulnerabilidades: Identifica y perfila todos los activos CPS utilizando métodos de descubrimiento altamente flexibles, incluyendo Claroty Edge y SBOMs asociados, mapeando sus rutas de comunicación y uso de protocolos, atribuyendo vulnerabilidades y monitoreando amenazas, resultando en puntajes de riesgo basados en un marco de riesgo transparente y adaptado de manera única.
- Apoyo a la priorización de procesos críticos de CPS: Reciba recomendaciones procesables que prioricen los esfuerzos de reparación basados en resultados cuantificados definidos por vectores de ataque específicos y su probabilidad de ser explotados, el impacto si se explotan y los controles compensatorios que se han aplicado.
- Validación segura de escenarios de exposición: Vaya más allá de la gestión de vulnerabilidades investigando la explotabilidad mediante archivos VEX y tácticas de descubrimiento adicionales, como técnicas de escaneado activo, o consultando a los fabricantes de equipos originales para validar las evaluaciones de riesgos y habilitar las técnicas de corrección adecuadas.
- Agilice la remediación y la movilización de programas: Intégrelo con las soluciones de ciberseguridad y gestión de activos de TI/OT líderes del sector para agilizar los procesos de gestión de riesgos existentes y movilizar la gestión de la exposición a CPS.
"Adoptar únicamente una visión centrada en las vulnerabilidades no ayuda a las organizaciones a centrarse en lo que más importa, dejando verdaderas exposiciones que pueden poner en riesgo la seguridad y la disponibilidad", afirma Grant Geyer, director de producto de Claroty. "Reducir el riesgo requiere una evolución de un programa tradicional de gestión de vulnerabilidades a un programa de gestión de exposiciones más centrado y dinámico que tenga en cuenta las características y complejidades únicas de los activos CPS, las limitaciones operativas y ambientales únicas, las tolerancias de riesgo de la organización y los resultados deseados del programa de riesgos cibernéticos CPS."
(Claroty)