Empresas de transporte y riesgos cibernéticos: Tres preguntas para el especialista en ciberseguridad de Trellix

GEODIS ha entrevistado a Mo Cashman, uno de los responsables en ciberseguridad de Trellix sobre su forma de entender los riesgos cibernéticos en las empresas de logística y transporte, y sobre cómo deberían responder estas empresas para tenerlos bajo control. También ha compartido con nosotros su opinión sobre la soberanía y la seguridad de los datos en la actualidad.
Trellix es el nombre de la nueva gran empresa mundial de ciberseguridad que nació de la fusión entre McAfee Enterprise y FireEye (octubre de 2021).

¿Qué medidas contra los ciberataques deberían implementar las empresas de logística y transporte para proteger a sus clientes?

El sector del transporte se enfrenta a muchas de las mismas amenazas comunes que afectan a la mayoría de las empresas digitales. Sin embargo, debido a la naturaleza crítica de sus infraestructuras y economía, así como por las aplicaciones nativas de la nube que utilizan, este sector es el objetivo de programas de secuestro (conocidos como ransomware) y ataques contra este tipo de aplicaciones que ponen en peligro su capacidad de resistencia.

En los últimos tiempos, el uso del ransomware como serviciose ha convertido en una forma eficaz de interrumpir las operaciones comerciales. De hecho, el sector transporte fue el segundo sector más atacado por el ransomware en el último trimestre (fuente: Trellix Threat Intelligence).

Es importante comprender que el ransomware no comienza con el cifrado de la información. Actualmente, la mayoría de las amenazas por este tipo de programa malicioso son ataques perpetrados en varias etapas. Para protegerse contra ellos, la mayoría de las organizaciones ya cuentan con los controles adecuados, como, por ejemplo, la seguridad de puntos finales, la EDR [Endpoint Detection and Response (detección y respuesta a los puntos de enlace)], el uso de servidores proxy seguros y controles de seguridad del correo electrónico Sin embargo, a menudo carecen de los procesos de detección y respuesta ante las amenazas en el SOC [Security Operations Center (centro de operaciones de seguridad)] para detectar el ataque cuando se está produciendo o les falta invertir en capacidades de XDR [Extended Detection and Response (detección y respuesta ampliadas)] para mejorar la detección, así como ensayar los procesos de respuesta a incidentes, que son cruciales para resistir a los ataques de ransomware.

Otro vector de ataque clave para las empresas de transporte son las API [Application Programming Interface (interfaz de programación de aplicaciones)] y las aplicaciones nativas de la nube. Hoy en día, más del 80 % de todo el tráfico de Internet pertenece a servicios basados en API. Las aplicaciones en la nube [software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS)] han transformado la forma en que los desarrolladores de software suelen diseñar, utilizar y aprovechar las API. Estas han evolucionado hasta convertirse en la columna vertebral de la mayoría de las aplicaciones modernas que usamos hoy en día. El alcance y la popularidad de algunas de estas aplicaciones en la nube, así como el tesoro que representan los datos esenciales que contienen, hacen de las API un objetivo muy lucrativo para quienes crean las amenazas. La naturaleza conectada de las API las hace más propensas a recibir riesgos adicionales para las empresas, ya que se convierten en un vector de entrada para los ataques a la cadena de suministro más amplios. En la mayoría de los casos, los ataques a las API pasan desapercibidos porque, por lo general, se consideran canales de confianza y no gozan del mismo nivel de gobierno y controles de seguridad.

Así pues, ¿cómo podemos reaccionar ante todo esto? En este contexto, obtener visibilidad del uso de las aplicaciones junto con la capacidad de examinar las API que se utilizan debería ser una prioridad para las organizaciones. Además, deberían tener el objetivo final de contar con un inventario basado en el riesgo de las API en uso y una política de gobierno que les permita controlar el acceso a estos servicios. Por otro lado, también se debería obtener visibilidad de las entidades no basadas en el usuario dentro de la infraestructura, como, por ejemplo, las cuentas de servicios y los principios de aplicación que integran las API en el ecosistema empresarial más amplio.

Para los desarrolladores, el desarrollo de un modelo de amenazas eficaz para sus API y la implementación de un mecanismo de control de acceso de confianza cero debería ser una prioridad, al igual que contar con un registro de seguridad y un sistema de telemetría eficaces para mejorar la capacidad de respuesta ante incidentes y la detección de usos maliciosos.

Las empresas de transporte deben proteger los datos de los clientes y mostrarse disponibles para poder responder a las necesidades de los clientes. Para ello, la mejora de los controles de seguridad contra el ransomware y los controles de la nube son herramientas esenciales para mejorar el nivel de protección.

Principales puntos a los que hay que prestar atención en materia de seguridad y que deben tenerse en cuenta en la codificación:

1. Una mala configuración de la API puede provocar que la información quede involuntariamente expuesta.
2. El aprovechamiento de mecanismos de autenticación modernos como Oauth/Golden SAML para obtener acceso a las API y persistir en entornos específicos.
3. La evolución de los ataques de malware tradicionales para utilizar más las API en la nube, como la API de Microsoft Graph para aterrizar y expandir; ya vimos evidencia de esto en el ataque Solarwinds, así como otros agentes de riesgo como APT40/ GADOLINIUM.
4. El posible uso indebido de las API para lanzar ataques a los datos de la empresa, como los ransomware, en servicios de almacenamiento en la nube, como OneDrive, etc.
5. El uso de las API para la infraestructura definida por software también puede conllevar un uso indebido que provoque que el agente de riesgo tome completamente el control la infraestructura o a la creación de una infraestructura en la sombra con fines maliciosos.

Ante la implementación del internet de las cosas en toda la cadena de suministro y en el contexto de un ecosistema ampliado, ¿cómo puede una empresa de logística y transporte controlar el riesgo cibernético?

La confianza cero y la ciberresiliencia son dos principios de seguridad que las empresas de transporte deberían adoptar como estrategia para gestionar los riesgos.

La NIST Special Publication define la confianza cero como un conjunto de paradigmas de ciberseguridad en evolución que traslada las defensas desde el modelo estático de perímetros basados en la red para centrarse en usuarios, activos y recursos. La confianza cero requiere que no se conceda de forma implícita ningún grado de confianza a los activos basándose únicamente en el segmento físico o de red al que pertenecen. Esto resulta muy aplicable a los dispositivos del IOT, por ejemplo.

Por su parte, la ciberresilencia es la capacidad de una organización para adaptar continuamente su sistema de seguridad, así como para detectar y responder rápidamente frente a las amenazas y, de este modo, operar adecuadamente en condiciones adversas. Actualmente, la ciberresiliencia exige contar con una arquitectura de seguridad basada en la confianza cero que actúe conjuntamente con otras prácticas de seguridad, como la continuidad del negocio y la protección de la información, para hacer posible que la organización sea resiliente. Varias empresas de transporte, como las organizaciones que fabrican productos o que trabajan en el ámbito sanitario, se consideran infraestructuras críticas para muchos países del mundo. Su capacidad para seguir funcionando aun cuando se produzca un ciberataque dirigido a la tecnología operativa o a los servicios alojados en la nube será fundamental, tanto para el éxito de la empresa como para su resiliencia.

Dado que la confianza cero representa un principio de arquitectura y una estrategia, es más probable que requiera un tiempo llevarla a la práctica. Sin embargo, una buena forma de empezar es siguiendo estos consejos:

Implemente mecanismos de monitorización continua en todos los sistemas empresariales. La monitorización no debe limitarse a la recopilación y el almacenamiento de registros, sino que debe ser una monitorización proactiva para detectar posibles actividades maliciosas en toda la empresa, cambios o vulnerabilidades en la situación de los sistemas o servicios críticos, además de para detectar actividades anómalas de los usuarios.

Obtenga la mayor cantidad de información posible sobre los activos y los servicios de la empresa. La tarea de descubrir y comprender los activos debe ir más allá de los sistemas gestionados por el departamento de TI y los dispositivos de los usuarios finales. Según los principios de confianza cero, todas las fuentes de datos y los servicios informáticos representan recursos. Por lo tanto, la tarea de descubrir y comprender los activos debe abarcar también los servicios en la nube, la práctica de traerse los dispositivos personales al trabajo, los sistemas de automatización de la tecnología operativa que sean propiedad de contratistas y los sistemas de los empleados y proveedores con los que se accede a los recursos y datos de la empresa.

Elimine las zonas de confianza y los recursos de microsegmentos. Un principio clave de la confianza cero es no conceder acceso a los recursos de la empresa únicamente en función de la ubicación o el segmento de red. Esto resulta especialmente importante entre el lugar de trabajo y los sistemas industriales, pero también se aplica a las redes de acceso remoto de proveedores o trabajadores, así como a la microsegmentación entre los sistemas críticos de la empresa y los de seguridad.

¿Cuál es su opinión sobre la seguridad y la soberanía de los datos, que se almacenan cada vez más en infraestructuras en la nube, propiedad de grandes empresas estadounidenses, y muy pronto chinas, sobre las que siguen existiendo escasos medios de control?

Es una cuestión difícil y creo que debemos adoptar un método en tres pasos método en tres pasos.

En primer lugar, la prioridad principal debe ser proteger los datos de los clientes frente a posibles robos por parte de amenazas externas, independientemente de las plataformas de alojamiento de infraestructura en la nube o de quién sea su propietario. Se trata de una responsabilidad compartida entre el propietario de los datos (empresa de transporte) y el proveedor de servicios en la nube. Las empresas de transporte deben asegurarse de que las aplicaciones creadas para que se ejecuten en plataformas en la nube sean seguras y que se supervise su acceso para detectar indicios de violaciones de la seguridad de los datos. Los proveedores de servicios en la nube deben asegurarse de que los componentes de los servicios IaaS y PaaS sean seguros y proporcionar las certificaciones de terceros necesarias como prueba de que se aplican los controles adecuados.

En segundo lugar, los propietarios de los datos y de las aplicaciones deben garantizar un enfoque de privacidad por diseño en el desarrollo de las aplicaciones que sustentan los sistemas del IOT. Minimizar la recopilación de datos solo a los elementos necesarios, proteger los datos a través del cifrado y cumplir con las normativas locales en materia de privacidad, como el RGPD o la Popia [Protection of Personal Information Act (Ley de Protección de la Información Personal de Sudáfrica)], serán aspectos fundamentales para gestionar los riesgos.

Por último, los organismos gubernamentales, los proveedores de servicios en la nube y la industria deben trabajar juntos para garantizar un entendimiento común de las fronteras digitales y que las soluciones puedan adaptarse a los requisitos normativos sin poner en peligro la soberanía o la privacidad de los datos.