Según Peter Dempsey, de Axis Communications, los ciberataques pueden provenir de cualquier lugar y pasar desapercibidos durante años, por lo que es imperativo que los centros de datos dispongan de un hardware de seguridad resiliente para evitar la vulneración de unas normativas cada vez más estrictas.
Para los ciberdelincuentes, los centros de datos representan un premio lucrativo y atractivo, independientemente de si el objetivo del ataque es robar datos, interrumpir sistemas críticos o desplegar ransomware. Un centro de datos representa un gran número de sistemas, procesos y dispositivos de hardware, y solo se requiere una pequeña rendija en cualquiera de estos elementos para acceder al centro de datos. Si se puede explotar, ocurrirá, y hay muchas vías potenciales de entrada.
Se han encontrado más de 20 000 sistemas de gestión de infraestructuras de centros de datos (DCIM) expuestos públicamente, y estos podrían permitir a un atacante interrumpir el funcionamiento de un centro de datos al alterar los umbrales de temperatura y humedad. Algunos sistemas de alimentación ininterrumpida (SAI) también han demostrado ser vulnerables, dando a los hackers acceso a la alimentación de los centros de datos. Y los centros de datos están llenos de dispositivos de Internet of things (IoT) que podrían actuar como vectores de ataque. Los centros de datos deben ser conscientes de su vulnerabilidad y esforzarse por proteger cada uno de los elementos que componen su infraestructura.
APT31 - Preparación para ataques ocultos
Es posible que muchos centros de datos ya hayan sido atacados silenciosamente. Los atacantes despliegan ataques «living off the land» (LOTL) cada vez más sofisticados que utilizan las herramientas habituales de los sistemas informáticos en lugar de instalar sus propios archivos maliciosos. Este tipo de infiltración es difícil de detectar y, de hecho, puede pasar desapercibida durante años hasta que el delincuente esté listo para atacar1.
Estos actores pueden ser entidades importantes. En muchos casos, se ha descubierto cargas LOTL procedentes de agentes financiados por estados que se esconden en redes críticas. El Centro Nacional de Ciberseguridad del Reino Unido ha implicado ahora a un grupo de piratería informática con financiación estatal, APT31, en un intento de atacar a un grupo de MP. En una lista de otros objetivos, la ciberamenaza APT31 se extiende a la economía del Reino Unido, a las infraestructuras nacionales críticas y a las cadenas de suministro2.
Esto pone de relieve la necesidad de que los responsables de los centros de datos adopten un enfoque proactivo en materia de seguridad, que no solo se base en principios conocidos de ciberseguridad, sino que emplee una supervisión activa y una diligencia debida estricta. Y esto es especialmente importante en el entorno normativo actual.
NIS2 - Detección de anomalías de datos en infraestructuras críticas
La Directiva NIS2 (NIS2) y la Ley de Ciberresiliencia reclasifican los centros de datos como infraestructuras críticas. Ahora entran en la misma categoría que la sanidad, la energía y el transporte, y tendrán que cumplir con el mismo nivel de escrutinio sobre su gobernanza. Los operadores de centros de datos, sometidos a dicha legislación o no, no tienen otra opción que reforzar sus defensas.
El comportamiento de cada componente de hardware, software y firmware dentro de una red debe analizarse de forma periódica para detectar incluso la actividad inusual más inofensiva. Este trabajo de detección también debe extenderse más allá de los límites del centro de datos, ya que la NIS2 se aplica a las actividades de los colaboradores, así como a las entidades críticas. Esto incluye a los proveedores de equipos y, lo que es crucial, a cada paso de su cadena de suministro.
Búsqueda de vulnerabilidades en la cadena de suministro
Si un atacante no puede infiltrarse en un centro de datos de forma directa, puede que intente inyectar una carga maliciosa en equipos que aún no se han implementado. Los dispositivos IoT son un terreno fértil para los delincuentes: están conectados a la red de forma predeterminada y a menudo no se inspeccionan con el mismo nivel de detalle que los vectores de ataque más obvios. Al igual que ocurre con las cargas LOTL, los dispositivos de IoT maliciosos pueden simplemente ocultarse a simple vista porque permiten a los atacantes infiltrarse basándose en una confianza implícita.
Los ataques a las cadenas de suministro son increíblemente peligrosos y están creciendo, superando los ataques directos de malware en un 40 %3 en 2022. Ya no hay forma de justificar una confianza implícita: los proveedores deben demostrar la seguridad y pureza de su cadena de suministro de forma detallada y adoptar medidas para garantizar que no se produzcan modificaciones no autorizadas. Los centros de datos, a su vez, deben reevaluar todas las relaciones con los proveedores para asegurarse de que no caer en ninguna trampa.
Afortunadamente, la tecnología moderna permite a los proveedores demostrar la legitimidad de su hardware de una forma bastante limpia. El hardware de un módulo de plataforma de confianza protege el firmware firmado, ofreciendo confianza en la integridad de un dispositivo a lo largo de toda la cadena. El arranque seguro evita que se ejecute firmware no autorizado. Y algunos dispositivos pueden almacenar claves y certificados criptográficos de forma segura en su interior, lo que refuerza sus credenciales de seguridad y simplifica el proceso de gestión de las defensas.
Cómo hacer frente a la presión normativa
Las regulaciones como la NIS2 básicamente obligan a los centros de datos a actuar ahora o enfrentarse a grandes sanciones. Sus términos hacen que los directores de los centros de datos sean responsables no solo de las filtraciones internas, sino también de las causadas por determinados fallos de seguridad de terceros. La seguridad debe reevaluarse de arriba a abajo.
Una sólida seguridad física a través de cámaras, detección térmica, radar y un sistema de control de acceso es claramente fundamental, ya que un atacante en las instalaciones podría causar interrupciones inesperadas. Pero la seguridad lógica es igual de vital para garantizar que los atacantes no accedan a las instalaciones de forma virtual. Cada pieza de hardware y software, ya sea dentro del alcance de las regulaciones o no, debe catalogarse, analizarse, priorizarse y documentarse de forma periódica.
La conformidad debe demostrarse con un registro claro, y los proveedores también deben proporcionarla. Ningún proveedor que se valore desearía suministrar algo que no esté al nivel requerido; trabajar con proveedores que se preocupan por sus productos es el camino para que los centros de datos creen un mundo más seguro e inteligente.