Archivo de la categoría: Seguridad & Internet

En el lado seguro: construyendo una mejor protección de datos

Trend Micro ha creado una infografía para mostrar la ruta que toman los datos personales bien protegidos y cómo dejar esta información en manos de una organización para un procesamiento seguro

El Reglamento General de Protección de Datos (GDPR) aprobado en abril de 2016 después de cuatro años de deliberaciones ya está en vigor. La regulación ha sido noticia en todo el mundo con sus estrictos estándares de protección de datos, multas sustanciales y, sobre todo, por su amplio alcance. El GDPR afecta a cualquier organización que posea datos personales de cualquier ciudadano de la UE, sin importar el tamaño o ubicación. Una empresa con sede en Asia es tan responsable como una multinacional con oficinas en toda Europa, siempre que recopile y procese los datos de los ciudadanos de la UE.

La regulación establece las obligaciones de protección de datos de las organizaciones afectadas, desde la adopción de métodos de seguridad de vanguardia hasta el acceso de las personas a sus datos y el control de estos. Reconociendo los grandes cambios requeridos para el cumplimiento, las autoridades de la UE otorgaron a los estados miembros y a las organizaciones dos años para prepararse. La etapa de transición ha terminado: ahora se hará cumplir el GDPR.

La aplicación significa que las organizaciones ya deberían procesar los datos personales de acuerdo con el GDPR, incluidas las disposiciones sobre los derechos de los interesados. Las Autoridades de Protección de Datos (DPA) de los estados miembros de la UE podrán penalizar a las organizaciones que no cumplan. Dependiendo del Estado, es posible que los reguladores actúen de inmediato para abordar cualquier incumplimiento. Algunos organismos reguladores, sin embargo, planean ser más indulgentes con las empresas y organizaciones que ya han comenzado, pero aún no han completado sus esfuerzos de cumplimiento.

¿Cuál es el peor escenario? Una organización es responsable de los daños causados por el incumplimiento y está sujeta a las correspondientes multas administrativas. La sanción más alta es de 20 millones de euros o hasta el 4% de la facturación anual, la cifra que sea mayor.

 ¿Y el mejor escenario? Si una organización cumple con el GDPR, o utiliza el reglamento como punto de partida y va más allá de los estándares mínimos, las ventajas son significativas. Una información valiosa y segura, operaciones más eficientes con la gestión y archivo adecuado de los datos, y una mayor confianza de los clientes y usuarios, son solo algunos de los beneficios.

Mientras el GDPR se aplica a los datos personales de los ciudadanos de la UE, este reglamento ha provocado un cambio en las regulaciones de privacidad en todo el mundo. Así, ha permitido a varios países realizar sus propias mejoras legislativas: Reino Unido y  Australia son solo dos de los países que ya han actualizado sus leyes de protección de datos. Esto indica que el cumplimiento del GDPR es una buena oportunidad, no solo para las compañías multinacionales, sino también para las más pequeñas, para mantenerse al día con los avances mundiales en materia de privacidad de datos y seguridad de última generación. ¿Qué deberían estar haciendo las organizaciones? Todo el trabajo de base para el cumplimiento ya debería haber finalizado, y las casillas de la lista de verificación de cumplimiento deberían haber sido marcadas. Las organizaciones ya deberían poder proporcionar productos o servicios que aborden los derechos de sus clientes como se describe en el GDPR. Aquellos que usan aplicaciones o proveedores de terceros deben estar atentos a las actualizaciones relacionadas con cuestiones como el “derecho al olvido” y estándares más estrictos de consentimiento del usuario y asegurarse de que funcionen correctamente. También se espera que varias leyes y cambios de software entren en vigor en los próximos meses, y las organizaciones han de estar preparadas para cualquier cambio necesario.  Para aquellos que aún no cumplan totalmente, algunas Autoridades de Protección de Datos de los estados miembros han tranquilizado a las compañías que “actúan de buena fe” o que están en el camino del cumplimiento, asegurando que inicialmente serán tratadas con consideración. Es crucial documentar los pasos que se están dando, así como priorizar el tratamiento de posibles riesgos de seguridad. Listo o no, el camino hacia el cumplimiento del GDPR no termina el día de la aplicación: las evaluaciones y las auditorías deben avanzar regularmente. Construyendo mejores medidas de privacidad El GDPR se implementó para establecer un nuevo estándar de privacidad y protección de datos. Un elemento clave para esto es la construcción de medidas de privacidad desde las primeras etapas de desarrollo, sin que sea necesario parchear o resolver los problemas después de que ocurran. A medida que las organizaciones creen nuevos productos y aplicaciones después del día de implementación, debe tenerse en cuenta la privacidad por diseño. A través de sus nuevas normas y estándares, el GDPR alienta a las organizaciones a reconsiderar las políticas de gestión de datos existentes e invertir en seguridad de última generación para la protección de datos. Los esfuerzos de cumplimiento deben ser constantes después de la fecha de implementación de GDPR; mantenerse al día con los desarrollos de ciberseguridad o muy importante. Trend Micro ha creado esta infografía para demostrar la ruta que toman los datos personales bien protegidos, dejando los datos personales en manos de una organización para un procesamiento seguro. Esto sirve de muestra para saber si algo sale mal y qué sucede si todo sale bien.Puedes encontrar más información aquí.

Como proteger las organizaciones de vulnerabilidades externas

Las grandes vulnerabilidades como Wannacry y PETYA cada vez son más comunes. Aunque finalmente las vulnerabilidades son parcheadas y resueltas por los proveedores, el tiempo que transcurre entre el lanzamiento del parche y su implementación en los servidores empresariales expone a los negocios ante ataques dirigidos y otras amenazas.

Después de que una gran vulnerabilidad es descubierta, los ciberdelincuentes tardan poco menos de un día (o menos) en comenzar a explotarla. Lamentablemente, las organizaciones tardan de media más de 30 días en parchear los sistemas y aplicaciones estándar – y meses o incluso años-, en aplicar los parches a aquellos sistemas y aplicaciones que son mucho más complejos o están centrados en el negocio.

Lo cual implica:

  1. Exposición de datos críticos
  2. Compromiso de las medidas de seguridad
  3. Compromiso de red y sistema
  4. Pérdidas económicas
  5. Pérdida de reputación

¿Cómo evitarlo?

El parcheo virtual de Deep Security reduce la ventana de exposición a solo un día, evitando que los ataques oportunistas exploten los zero-day y entren en su red.

Trend Micro Smart Protection Suites asegura los desktops de exploits y amenazas zero-day co vulnerability shielding, virtual patch capabilities.

Las tecnologías de parcheo virtual como la que se encuentran en Trend Micro™ Deep Security™ pueden ofrecer protección incluso antes de que se desplieguen los parches de los proveedores, y antes de que surjan otros desafíos que retrasen la aplicación de dichos parches.

Asegurar nuestro mundo móvil y conectado

El tiempo vuela rápido en tecnología. Cuando se fundó Trend Micro hace 30 años, los teléfonos móviles eran bastante anticuados, prohibitivamente caros y no muy “inteligentes”. El avance ha sido rápido hasta hoy y el dispositivo que llevas en tu bolsillo tiene más capacidad de procesamiento que las máquinas que conducen a los hombres a la luna. A lo largo de los años, la cita anual Mobile World Congress (MWC) de Barcelona ha ofrecido una visión fascinante del notable crecimiento de esta industria.

El móvil está ahora en el corazón de nuestro mundo digital. Hoy significa mucho más que los smartphones —extendiéndose a Internet de las Cosas (IoT) para impregnar virtualmente cada uno de los aspectos de nuestras vidas. Pero con este mundo digital recién conectado surgen nuevos riesgos. Es por esto que Eva Chen, CEO de Trend Micro, estuvo presente en MWC este año para explicar a la prensa su visión de cómo la inteligencia conectada puede ayudar a construir un mundo conectado más seguro.

Un mundo basado en datos

Internet de las cosas está a nuestro alrededor. Nos mantiene entretenidos en casa, más productivos en el trabajo, más felices y más saludables. Pone en marcha nuestras fábricas, agiliza los procesos comerciales y mejora la prestación de servicios.

Para el año 2020 se estima que habrá 20.400 millones de “cosas” conectadas en el planeta, según Gartner. Además, están generando una gran cantidad de datos: el número de dispositivos iPad ya son suficientes para llenar dos tercios del camino a la luna. En 2020 ya serán suficientes como para llenar casi siete apilamientos en la luna.

Los riesgos están en todas partes

Este nuevo mundo conectado en el que vivimos está cada vez más expuesto a las ciberamenazas. Podemos verlo en todas las esferas:

Casa inteligente: La botnet Mirai puso en peligro los dispositivos de los consumidores conectados en masa para lanzar ataques DDos que colapsaron muchas áreas de Internet en 2016. Más cerca de casa, desde los monitores para bebés hasta las cerraduras conectadas de las puertas de entrada  podrían verse comprometidas.

Fábrica inteligente: Los hackers también están interesados en dispositivos IoT en fábricas y en instalaciones de infraestructura crítica. El ejemplo más famoso hasta la fecha ha sido el ataque a los proveedores de energía ucranianos, que cortó la energía a cientos de miles de consumidores en diciembre de 2015 y 2016. La investigación de Trend Micro ha revelado lo expuestas que están las ciudades occidentales a un posible ataque.

Coches conectados: Los investigadores también han demostrado en numerosas ocasiones cómo los vehículos conectados insuficientemente protegidos podrían ser hackeados con un efecto devastador, permitiendo a los hackers controlar de forma remota, la dirección, los frenos y el motor.

Una fórmula para el éxito

Cada vez es más difícil proteger la explosión en endpoints que impulsa el IoT. El código Buggy, los puertos de red abiertos, la autenticación deficiente, los cambios de comportamiento y archivos no detectados y los protocolos de red inseguros se suman al desafío. Afortunadamente, hay una solución. Nuestra fórmula para el éxito se basa en tres factores: anticipación a cambios en la infraestructura cloud, IoT y 5G; abrazar cambios en el comportamiento del usuario, y una protección contra la gama completa de amenazas.

Esto no será fácil. Los dos mundos históricamente separados de TI y OT convergen rápidamente en la esfera de IoT, exponiendo a las organizaciones y usuarios a nuevos riesgos—todo esto a medida que la industria lucha por lidiar contra la escasez crónica de habilidades y competencias. Sin embargo, tenemos una gran posibilidad de éxito si consideramos la aplicación de seguridad basada en la inteligencia compartida en todos los niveles de IoT: el dispositivo (electrodoméstico, máquina de fábrica o coche conectado), red, centro de control (asistente de voz, ICS o controlador cloud) y la capa del “analizador de datos” en la nube.

En la práctica, esto significa proteger contra las vulnerabilidades del dispositivo, realizar inspecciones de red, reforzar los sistemas en el centro de control y proteger los servidores cloud. Lo que es más importante, este enfoque debe estar respaldado por una inteligencia compartida que reúna datos de millones de sensores de IoT en todo el mundo, los analice en la nube y luego coloque en la lista negra y bloquee las conexiones desde endpoints sospechosos. La inteligencia artificial también tiene un papel importante que jugar aquí al detectar la aguja en el pajar— patrones sospechosos en los datos de IoT que podrían indicar ataques.

Nuestro mundo se está conectando cada día más. La única manera de mantener la seguridad de los datos y la puesta en funcionamiento de los sistemas clave es mediante el uso de la inteligencia compartida y la asociación de toda la industria para ir un paso por delante de los hackers.

Cinco minutos con Raúl Guillen

Entrevista al Strategic Alliance & Partnerships Manager.

  1. Dada tu reciente incorporación, ¿por qué un cambio? y ¿por qué Trend Micro?

Buscaba salir de mi zona de confort para seguir desarrollándome profesional y personalmente, crecer, evolucionar, ir mas allá. Sentía que estaba con el piloto automático y eso no encaja en mi ADN. Soy una persona que disfruta en el trabajo, pero necesitaba nuevos retos, eso es lo que buscaba.

¿Porque TM?, el año pasado tuve la suerte de poder asistir al evento anual de partners y clientes de Trend Micro en San Antonio (Texas) y fue allí donde descubrí la verdadera dimensión y magnitud de esta compañía. Mi objetivo era desarrollar mi carrera profesional en una empresa de referencia y líder a nivel mundial, además de poder aportar un granito de arena para construir un mundo más seguro, sinceramente ahora después de un mes en Trend Micro no se me ocurre ningún lugar mejor.

 

  1. ¿Cuáles han sido tus primeras impresiones? ¿Qué es lo que más te ha llamado la atención de Trend Micro?

Ya conocía a gran parte del equipo de Trend Micro Iberia, pero no era consciente del EQUIPO con mayúsculas que tenemos. Es cierto que de puertas para fuera la imagen del equipo de España y Portugal es magnífica pero ahora dentro se han superado todas mis expectativas, el compañerismo, las ganas de ayudar y la colaboración marcan el ritmo de nuestro día a día, es algo que siendo un básico en cualquier compañía me ha sorprendido gratamente.

He tenido la oportunidad de asistir a mi primer SKO, nuestro evento anual de ventas en Vancouver. Ha sido una semana excelente para empaparme de la cultura y valores de Trend Micro. Personalmente me ha llamado mucho la atención la cercanía y ganas de ayudar de todos los Trenders, empezando por nuestra CEO (Eva Chen) y pasando por todos los VPs, managers y compañeros.

Luego algo que me ha marcado especialmente es el objetivo común de ayudar a la sociedad que tenemos como compañía e individuos, tuvimos la ocasión de compartir una jornada de trabajo y ayuda a la comunidad y todo el mundo arrimo el hombro con la mejor de las sonrisas, poder ayudar a mejorar las instalaciones de dos escuelas primarias ha sido muy gratificante.

Luego la multiculturalidad de nuestra empresa nos hace grandes, imagina más de 6.000 personas de todos los continentes en mas 50 países…

 

  1. ¿Qué crees que te puede aportar Trend Micro?

Visión 360 del negocio IT, he trabajado en cliente final y en system integrators, pero no tengo experiencia en fabricante. Como te decía antes busco nuevos retos y llevar mi carrera profesional a otros niveles, trabajar en una multinacional como Trend Micro creo que me va a aportar una nueva perspectiva. Además de tener información de primera mano de la seguridad en el intercambio de información digital.

 

  1. ¿Qué crees que puedes aportar tú a Trend Micro?

Creo que puedo aportar experiencia, entusiasmo, optimismo y energía. Además de una visión global de las necesidades de nuestros integradores y socios. Llevo más de 20 años trabajando en el sector IT, con especial foco en seguridad. Estos años me han ayudado a construir una amplia red de contactos y desarrollar una estrecha relación con gran parte de los actores del canal, ahora creo que puedo aportar esta experiencia y contactos para mejorar nuestra red de partners en Trend Micro.

 

  1. ¿Cuáles son los objetivos como directo de canal en Trend Micro a corto plazo? ¿y a largo?

Creo que mi trabajo va a ser muy divertido dado que mis objetivos a corto y medio plazo son los mismos que los de Trend Micro. Estos no son otros que desarrollar un ecosistema de socios y partners robusto y autónomo, con los que conseguir resultados extraordinarios. Todo ello pasa por construir en primer lugar relaciones de máxima confianza y compromiso mutuo, por supuesto basadas en el respeto y la colaboración, además queremos conseguir que nuestros partners tengan las capacidades técnicas, consultivas y comerciales para ser autónomos, por lo que otro objetivo a corto plazo debe ser la formación y capacitación de nuestro ecosistema de partners.

Todo ello nos permitirá conseguir excelentes resultados, queremos que nuestros partners desarrollen y generen negocio con Trend Micro ayudando a nuestros clientes a vivir más seguros. Si lo conseguimos, que estoy seguro de ello, nuestros partners crecerán y conseguirán también sus objetivos.

A largo plazo mantener estas relaciones de máxima confianza y compromiso, siempre en continua evolución y al servicio de nuestros partners y clientes.

Además estamos ante una oportunidad única para crecer con Trend Micro, te doy un dato: nuestra posición como fabricante a nivel global está entre los tres primeros players de ciberseguridad pero en Iberia somos actualmente el octavo fabricante, estoy convencido que con la inversión que estamos realizando nuestra posición y la de nuestros partners mejorara sustancialmente y se situara en el mismo lugar que tenemos en el resto del mundo, claramente esta es una oportunidad para el equipo de Iberia y nuestra red de socios.

 

  1. ¿Cuál es la solución tecnológica que más te gusta?

Soy un enamorado de nuestro conjunto de soluciones de seguridad para el datacenter y arquitectura Cloud. Dichas soluciones permiten securizar tanto entornos on premise tradicionales como off premise (cloud hibrida y cloud pública).

Además, creo que es el momento perfecto para que nuestros partners puedan construir servicios y ayudar a nuestros clientes aportando seguridad en el viaje a la nube, según Gartner en 2018 gran parte de los proyectos de IT estarán de una forma u otra relacionados con dicha transformación tecnológica.

Ligado a las soluciones SaaS (software as a service) nuestra solución de protección de información en la nube es la mejor del mercado permitiendo aportar una capa de seguridad adicional a servicios como Office 365, Box, Dropbox, GoogleDrive… así como un gran número de servicios de terceros, sin ninguna duda un complemento perfecto para proyectos de cumplimiento GDPR.

 

Preguntas cortas :

  1. Una frase: Life isn’t about waiting for the storm to pass it’s about learning to dance in the rain.La vida no va de esperar a que pase la tormenta, va de aprender a bailar bajo la lluvia.
  2. Lugar del mundo: El mundo, me encanta viajar… no me hagas elegir.
  3. Comida favorita: Toda, soy un foodie de libro… no en serio me encanta la comida y me encanta cocinar.
  4. Ciudad para vivir: Madrid, sin ninguna duda.
  5. Una tecnología: Internet, creo que hace el mundo más fácil
  6. Hobbie: La música sin duda, nuestra vida sin banda sonora sería muy aburrida. Me gusta mucho ir a conciertos y si son salas pequeñas mejor.
  7. Fuente de información: Mi móvil, lo utilizo para consultar la prensa tanto general como especializada, leer artículos de tecnología, LinkedIn, mail, etc…
  8. Una bebida: Cerveza.
  9. Un momento del día: Más que un momento del día, te diría un momento de la semana, cualquier sábado que pueda compartir con mi familia.
  10. Un coche: El Delorean de regreso al futuro…

 

TRITON empuña su tridente – Nueva manipulación de malware con sistemas de seguridad industrial

TRITON o TRISIS (detectado por Trend Micro como TROJ_TRISIS.A) es un malware recientemente descubierto que ha sido diseñado para manipular sistemas de seguridad industrial y, más concretamente, estuvo involucrado en el cierre de las operaciones de una planta industrial (según se ha comunicado en un país de Oriente Próximo). Según los informes, la víctima en cuestión no sufrió daños ya que el sistema de la planta se cerró de manera segura. Sin embargo, la tecnología específica seleccionada se utiliza ampliamente en diversas industrias, especialmente en el sector de la energía, lo que deja a otras organizaciones vulnerables. Además, el cierre del sistema podría haberse desencadenado inadvertidamente como resultado de una actividad de exploración por parte de los atacantes, quienes intentaba aprender cómo funcionaba el sistema para su uso futuro.

El ataque TRISIS supone el primer informe de atacantes que apuntan directamente a un sistema instrumentado de seguridad (https://www.automationworld.com/cyber-attack-hits-safety-system-critical-infrastructure). Como era de esperar, las comparaciones con Stuxnet dominan la cobertura sobre TRITON. Pero, ¿qué es lo realmente novedoso aquí? A continuación, el equipo de investigación de Trend Micro, presenta bajo el formato Preguntas Frecuentes lo que se sabe actualmente sobre el malware TRITON, qué lo hace tan novedoso y lo que esto podría significar para la seguridad de los Sistemas de Control Industrial (ICS) en general.

Detección
Dos compañías ha publicado informes que cubren este malware. Una empresa de seguridad descubrió malware ICS a medida en estado puro, desplegado contra al menos una víctima en Oriente Próximo, a mediados de noviembre de 2017. El malware fue descrito en un informe posterior y denominado TRISIS porque se dirige a Triconex, el sistema de seguridad instrumentado (SIS) de Schneider Electric. Casi al mismo tiempo, se publicó otro informe de un proveedor de seguridad en el que se abordaba un incidente en una planta industrial que apuntaba a la misma familia de malware. Llamaron al malware “TRITON”, también en referencia al sistema Triconex para el que fue específicamente adaptado.

¿Qué es SIS, el tipo de sistema para el que TRITON/TRISIS está diseñado   sistemáticamente?
Muchos de los ataques más conocidos y de alto perfil relacionados con ICS de los últimos años han estado relacionados con sistemas de control de procesos como el Control de Supervisión y Adquisición de Datos (SCADA), lo que hace que los ataques SCADA sean relativamente omnipresentes. El malware TRITON, sin embargo, se dirige por primera vez a los controladores de seguridad, es decir, a los llamados sistemas instrumentados de seguridad (SIS).

Los sistemas instrumentados de seguridad se utilizan para controlar el estado de los valores y parámetros de los procesos de una planta dentro de los límites operacionales. En condiciones de riesgo, están programados para activar alarmas y restablecer la planta a un estado seguro o apagarla de manera segura si los parámetros indican una situación potencialmente peligrosa. Estos controladores de seguridad han sido tradicionalmente sistemas separados y se supone que funcionan independientemente de otros equipos en una instalación con el único propósito de monitorizar la seguridad. Lo que sabemos sobre el escenario en cuestión es que el controlador Triconex SIS tenía su interruptor de llave en “modo programa” durante el momento del ataque, y el SIS estaba conectado a la red de operaciones contra el estándar de buenas prácticas.

Si se observa el SIS en general y la información disponible públicamente, parece que quien planificó el ataque debería haber tenido acceso a un prototipo y estudiado el SIS específico muy de cerca para construir un exploit a medida específicamente para el tipo de SIS utilizado por la víctima objetivo, en este caso, Triconex SIS de Schneider Electric.

¿Cómo funciona TRITON y qué puede hacer?
TRITON/TRISIS es un fragmento de malware altamente dirigido. No es un ataque escalable, ya que debe modificarse para cada organización objetivo, dado que cada SIS es exclusivo de la organización y la industria en la que se utiliza. Las variantes detectadas actualmente están diseñadas específicamente para manipular los productos Triconex.

Según los informes, el atacante primero obtuvo acceso remoto al SIS y luego implementó TRITON en una estación de trabajo basada en Windows con el objetivo de reprogramar los controladores SIS. La herramienta de ingeniería y mantenimiento utilizada por los productos Triconex SIS es TriStation. El protocolo TriStation es propiedad y no es de acceso público. TRITON/TRISIS aprovecha este protocolo, lo que sugiere que el atacante realizó una ingeniería inversa al desarrollar el malware.

Una vez que el controlador SIS se ha visto comprometido, el atacante puede reprogramar el dispositivo para desencadenar deliberadamente un estado seguro, lo que se traduce en tiempo de inactividad no deseado y pérdidas financieras. Lo contrario también sería posible, permitiendo un escenario en el cual los atacantes podrían reconfigurar el SIS para permitir parámetros peligrosos sin entrar en el estado seguro predeterminado. Esto podría tener un impacto físico nefasto en la producción, en la planta en sí y, por supuesto, en la seguridad humana, de acuerdo con las firmas de seguridad que lo investigan.

¿Quién está afectado?
Los informes actuales indican que este malware ha afectado a organizaciones en Oriente Próximo. El mismo tipo de controladores de seguridad se utilizan ampliamente en infraestructuras críticas, a menudo en instalaciones de energía (petróleo y gas), y también a veces en instalaciones de energía nuclear o plantas de fabricación. Lo que podemos suponer es que este ataque sugiere que el agente de amenaza parece tener interés en causar un ataque de alto impacto con daño físico, descartando a los grupos de ciberdelincuencia comunes y corrientes

¿Qué significa esto para la seguridad de ICS?
El malware TRITON/TRISIS es ampliamente visto como un evento relativamente significativo en la comunidad ICS, mientras que otros cuestionan si eso no exagera la realidad dado que los hechos en este momento son dispersos y el análisis final aún no se ha hecho público. Debido a su potencial capacidad para causar un impacto físico, se considera el quinto malware específico adaptado para ICS y el primero en apuntar al SIS en particular, introduciendo así un nuevo componente en la superficie de amenazas de ICS. Se dice que TRITON/TRISIS es el siguiente en una línea de ataques de malware de alto perfil dirigidos a ICS con objetivos muy sofisticados. La cobertura sobre TRITON se ha comparado con otras familias de malware relacionadas con ICS, como Stuxnet, así como con Industroyer o BlackEnergy, que afectaron a empresas de distribución de electricidad principalmente en Ucrania.

Dirigirse a la infraestructura crítica para interrumpir, alterar o destruir sistemas no es nueva, sino más bien consistente con numerosas actividades de ataque y reconocimiento llevadas a cabo por varios actores de amenazas a nivel global. TRITON es constante con estos ataques en los que podría evitar que los mecanismos de seguridad ejecuten su función prevista, derivando en una consecuencia física. Ahora, los sistemas modernos de control y automatización de procesos industriales dependen de una variedad de sofisticados sistemas de control y funciones de seguridad, por lo que el daño mecánico posible a través del controlador está limitado por cualquier sistema de seguridad mecánico desplegado dentro del ICS, también conocido como Tecnología Operacional. Por tanto, comprometer los controladores de seguridad no significa necesariamente que se vea comprometida la seguridad del sistema. Sin embargo, TRISIS debe verse como una ampliación de la segmentación de activos de ICS, otra vía para que los ciberdelincuentes potencialmente causen un daño significativo en un entorno de ICS. Definitivamente, aquí parece que la novedad radica en el enfoque en los sistemas de seguridad, y aunque todavía no se ha visto el daño real, el atacante ha diseñado un plan para ir tras los sistemas de seguridad.

Defensa y mitigación
La mitigación en caso de tal compromiso es importante. En el transcurso de un riesgo, es fácil encontrar fallos en un componente. Pero desde un punto de vista realista, una organización, además de cubrir los aspectos básicos, también debería realizar un estudio adecuado de su propio entorno OT específico. Esto no quiere decir que no sea fundamental contar con las mejores prácticas en las instalaciones, especialmente tener un firewall y un sistema de  segregación, que se supone que son una parte integral del diseño como se ve en el ejemplo del SIS. Los diseños integrados pueden ser tentadores por el coste que reducen y las oportunidades que ofrecen, pero los casos de estudio como TRISIS destacan reiteradamente el alto riesgo de ataque cibernético engendrado.

Trend Micro ha recompilado un listado de las estrategias defensivas básicas más importantes para ICS aquí.

Para obtener más información acerca de los sistemas ICS y cómo se configuran normalmente,  consulte las guías para los componentes ICS y para proteger los entornos ICS