Cuando el Ejército, la industria y los gobiernos locales se unen en los ejercicios cibernéticos de “fuego real”, los resultados son mutuamente beneficiosos, dijo el Coronel Andrew O. Hall.
Hall, director del Army Cyber Institute y otros expertos cibernéticos hablaron en una asociación del foro auspiciado por el ejército de los EEUU sobre cuestiones cibernéticas, el pasado 13 de diciembre.
La razón por la que los ejercicios son beneficiosos, dijo, es que las brechas en la ciberdefensa se hacen evidentes y los líderes de estas comunidades aprenden qué acciones deben tomar para defenderse.
A su vez, las lecciones aprendidas ayudan al Ejército a comprender mejor cómo defender todas las redes, que son vitales para la seguridad nacional, continuó.
Un buen ejemplo de esta colaboración, dijo Hall, es el ejercicio de ciberseguridad de Jack Voltaic. En 2016, el ejercicio reunió a representantes del Ejército y sectores de infraestructura crítica en la ciudad de Nueva York, incluyendo finanzas, energía, telecomunicaciones, gestión de emergencias y el gobierno de la ciudad para responder a un ciberataque simulado de dos días contra la ciudad.
Los participantes también fueron invitados a West Point, donde tuvieron una oportunidad de usar el centro de simulación cibernética de ACI, agregó. ACI publicó un informe que describe la metodología del ejercicio, los resultados y las posibles mejoras para que otras ciudades puedan replicar o construir sobre el ejercicio.
Natasha Cohen, directora de Cyber Policy and Client Strategy, señaló varios estudios de casos que muestran una variedad de formas en que los militares pueden asociarse con el sector privado y el gobierno local para abordar la naturaleza diversa de la amenaza, que según ella está creciendo en parte debido a la proliferación de herramientas de piratería que permiten a los usuarios relativamente poco calificados realizar operaciones contra una variedad de objetivos.
En 2015, la Guardia Nacional de Maryland respondió a los ataques de denegación de servicio distribuidos en el mundo real en Baltimore, dijo. Los ataques DDoS ocurren cuando varios sistemas informáticos se infectan, lo que básicamente cierra los sistemas específicos, en este caso, el estado de Maryland.
La Guardia pudo descargar herramientas que los actores maliciosos habían usado y descubrió cómo defenderse de ellas, dijo.
Aunque el incidente terminó antes de que la Guardia pudiera compartir esos hallazgos con las organizaciones, la experiencia ayudó a trabajar en las legalidades de dicha acción y preparar el escenario para la asistencia en el futuro, dijo.
Si bien la amenaza para las organizaciones puede ser real, no todas las industrias tienen los recursos para llevar a cabo algunas de las operaciones de seguridad más costosas, como las pruebas de penetración, dijo Cohen, explicando que “pentesting” implica un ataque simulado autorizado en una red para evaluar su seguridad.
En 2016, la Guardia Nacional realizó una prueba de penetración en la red del Distrito de Servicios Públicos del Condado de Snohomish en el estado de Washington, dijo Cohen.
La Guardia recibió capacitación específica en control de supervisión y adquisición de datos, o SCADA y sistemas de control industrial, y pudo destacar varias áreas de mejora en la utilidad pública, dijo, y señaló que SCADA es una arquitectura de sistemas de control que involucra servicios críticos, como la electricidad, el gas natural y el transporte.
Este acuerdo entre la Guardia y la empresa de servicios tomó dos años para armarse y hasta ahora no se ha replicado, lamentablemente, dijo. “Si las lecciones aprendidas de esta experiencia pudieran compartirse e implementarse en otros estados, podría proporcionar un beneficio mutuo para ambas partes: capacitación para la Guardia y pruebas para sistemas de infraestructura críticos”.
Cuando se produce un ataque cibernético en una organización civil, es necesario aumentar los recursos externos para defenderse de él, dijo Cohen. A menudo, esas fuerzas emergentes, ya sean militares, gubernamentales o del sector privado, no están familiarizadas con la forma en que la organización hace negocios, las herramientas de seguridad que utiliza, etc, por lo que no pueden aplicar las tácticas, técnicas y procedimientos correctos.
Arizona logró atacar este problema al crear un centro para el intercambio colaborativo de información cibernética en un ambiente neutral de confianza donde los socios de la industria, la academia, la policía y la inteligencia se unen, dijo, citando a la Arizona Cyber Threat Response Alliance, sin fines de lucro. Inc, o ACTRA, que ha liderado ese esfuerzo.
Hall elogió los esfuerzos de colaboración que Cohen, y dijo que ACI está trabajando con el Colegio de Comando y Estado Mayor en Fort Leavenworth, Kansas, para crear un lenguaje cibernético común que facilitará el intercambio de información entre el personal cibernético y no cibernético, ya que muchos de los términos pueden parecer crípticos para los laicos.
