La (in)seguridad de los sistemas de control de procesos

SistelCONTROL | Seguridad Sistemas de Control

Debido a las amenazas existentes, la ciberseguridad se ha convertido en una prioridad para los entornos de control. Originariamente, los sistemas de control de procesos fueron creados como sistemas independientes y aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con la estandarización de Internet y el uso de los protocolos IP, el diseño ha cambiado hasta el punto de que, en muchos casos, la red de control ha pasado a ser una extensión protegida de la red corporativa, siendo potencialmente accesible desde Internet y vulnerable a los riesgos que esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un entorno seguro para reducir las amenazas existentes.

Los entornos de control de procesos, cada vez más, utilizan y dependen de las tecnologías de la información. Estas tecnologías están reemplazando las tecnologías propietarias convencionales, permitiendo así reemplazar el software hecho a medida por software comercial. Esta transformación trae consigo dos grandes hándicaps:

  • Los sistemas de control de procesos tradicionalmente eran sistemas cerrados diseñados para ser funcionales, seguros y fiables donde la principal preocupación era la seguridad física. Con la integración de estos sistemas en un entorno informático, el entorno de control queda expuesto a nuevas amenazas (virus, malware, intrusiones, etc.).
  • El software comercial utilizado para reemplazar los sistemas de control de procesos propietarios a menudo no cumple con las particularidades y la complejidad del entorno de control. Muchas de las medidas de seguridad informática utilizadas con estas tecnologías no han sido adoptadas y, por consecuencia, puede haber medidas de seguridad insuficientes para proteger los sistemas de control y mantener el entorno seguro.

Las consecuencias de exponer dichas vulnerabilidades al exterior pueden ser graves. El impacto de un ataque electrónico en el entorno de control puede incluir la pérdida de servicio, pérdida de integridad, pérdida de confidencialidad y pérdida de reputación, entre otros.

COMPRENDER EL RIESGO DEL NEGOCIO. PRINCIPIOS DE BUENAS PRÁCTICAS 

Solo con un buen conocimiento del riesgo que suponen las amenazas, vulnerabilidades e impacto para el negocio, una organización puede tomar decisiones con los niveles de seguridad adecuados y necesarios para mejorar las prácticas de trabajo. Los procesos deben quedar sujetos a una continua evaluación para adaptarse al cambio constante.

EVALUACIÓN FORMAL

Es conveniente llevar a cabo una evaluación formal de los riesgos de los sistemas de control:

  • Sistemas: Realizar una auditoría de inventario y una evaluación de los sistemas de control. Qué sistemas existen, cuál es el papel de cada sistema, cómo interactúan, funcionalidad y responsable del sistema.
  • Amenazas: Identificar y evaluar las amenazas que afectan a los sistemas de control de procesos. La revisión debe incluir la evaluación de la infraestructura, sistemas operativos, aplicaciones, componentes software, conexiones de red, conectividad de acceso remoto y procesos y procedimientos.
  • Impacto: Identificar el impacto y consecuencias.
  • Vulnerabilidades: Evaluar la infraestructura, sistemas, aplicaciones y procesos para revisar y analizar las vulnerabilidades.

MARCO DE SEGURIDAD

Para garantizar la seguridad de la red de control y poder evaluar el riesgo, se debe llevar a cabo un seguimiento para identificar y mitigar las vulnerabilidades que permitan a un atacante alteraro tomar el control del sistema. Cuando se implementa una arquitectura segura, se tiende a focalizar el esfuerzo en los elementos tecnológicos. Aunque importantes, la tecnología es insuficiente por si misma para proveer una protección robusta. No es suficiente instalar y configurar un firewall si no se han tenido en cuenta las particularidades del entorno de control de procesos. Aunque los sistemas de control están basados en los estándares de TI, su entorno operacional difiere significativamente. Las soluciones para garantizar la seguridad en entornos informáticos no suelen ser las apropiadas para el entorno de control. Mientras que algunas herramientas y técnicas de seguridad estándar se pueden utilizar para proteger los sistemas de control de procesos, se puede necesitar una cuidadosa adaptación para su integración. A modo de ejemplo, puede que no sea posible la instalación de un antivirus en los sistemas de control debido a la falta de potencia del procesador, la antigüedad del sistema operativo o la certificación del proveedor. Las pruebas de seguridad en los sistemas de control de procesos también deben ser adoptadas con sumo cuidado: un escaneo de seguridad puede afectar significativamente el funcionamiento de determinados dispositivos de control y causar efectos adversos en los sistemas analizados. Dichos tests escanean los puertos y vulnerabilidades a través de peticiones continuas a direcciones IP con datos ficticios. Rara vez se crean entornos de prueba para realizar el análisis y hay pocas oportunidades de tener los sistemas con la línea de producción parada para poder instalar los parches de seguridad o realizar las tareas de mantenimiento oportunas.

OBJETIVOS

Para el entorno de control, el orden del objetivo de seguridad es inverso al del entorno informático, ya que la disponibilidad de los sistemas se posiciona como el factor más importante. En un entorno de control, el término seguridad suele referirse a fiabilidad y alta disponibilidad.

PROTEGER, DETECTAR, ACTUAR

Una evaluación de vulnerabilidades identifica e informa de un fallo de seguridad para su posterior análisis. La principal finalidad de un test de seguridad es duplicar las acciones de un atacante para encontrar los puntos débiles de la red que podrían permitir el acceso al entorno de control a través de Internet o desde la propia red corporativa. Existen varias herramientas y técnicas utilizadas por los atacantes para identificar vulnerabilidades.

  • Proteger: Implementar las medidas de seguridad y protección adecuadas para prevenir los ataques electrónicos.
  • Detectar: Establecer mecanismos para la rápida identificación de los ataques electrónicos.
  • Actuar: aplicar las medidas de prevención adecuadas para solventar las incidencias de seguridad. El éxito de cualquier procedimiento de seguridad depende del factor humano. Los empleados son el recurso más importante y la mayor amenaza para la seguridad. El personal de los sistemas de control de procesos no suelen estar familiarizados con la seguridad de TI y el personal de seguridad de TI no suele estar familiarizado con los sistemas de control ni su entorno operativo. Esta situación se puede mejorar aumentando la comprensión general a través de programas de formación.

TIPOS DE TEST DE SEGURIDAD

Un test de seguridad se centra en analizar las debilidades del entorno que quedan expuestas al exterior y puedan permitir a un atacante el acceso no autorizado. Estas pruebas suelen estar pensadas para entornos informáticos y rara vez pueden aplicarse al entorno de control, ya que los protocolos utilizados en ambos entornos difieren significativamente. Los proveedores de control utilizan protocolos propietarios para los procesos internos. Estos protocolos fueron desarrollados cuando los sistemas de control de procesos estaban aislados del entorno corporativo y la seguridad no era una amenaza. Desde que el entorno de control ya no está totalmente aislado, los protocolos propietarios han puesto al sistema en riesgo de ser atacado debido al bajo nivel de seguridad. Debido a la inseguridad inherente del entorno de control, las pruebas de análisis se centran en la seguridad de las electrónicas de red responsables de las entradas y salidas. El equipo debe evaluar la arquitectura de red para formar una estrategia de defensa apropiada que implique el uso de firewalls. La red corporativa y la de control no deberían comunicar directamente, todas las comunicaciones corporativas de entrada/salida hacia/desde la red de control tienen que ser filtradas y analizadas por un firewall y un detector de intrusiones, valorando la posibilidad de crear DMZs u otras arquitecturas para los sistemas más críticos.

PROCESO DE ESCANEO DE VULNERABILIDADES

Previo a una evaluación de seguridad, se debe revisar la estructura del sistema y definir su configuración, estableciendo los problemas conocidos y la lista de dispositivos a excluir del análisis. A diferencia de las pruebas de seguridad de TI, las cuales establecen hasta dónde puede llegar un atacante, en el entorno de control lo que queremos saber es si existen vulnerabilidades en el hardware o software y si las protecciones de seguridad existentes son suficientes para limitar el acceso.

RIESGO ASOCIADO

Un test de seguridad puede suponer un riesgo significativo para los sistemas de control de procesos. Como mínimo, puede ralentizar el tiempo de respuesta de la red debido al escaneo en búsqueda de vulnerabilidades. Las actividades generadas por el test pueden hacer que los componentes de control queden inoperativos. Este riesgo puede verse reducido si se utilizan las reglas de escaneo adecuadas por personal cualificado.

IMPLEMENTAR UNA ARQUITECTURA SEGURA

Los siguientes puntos detallan un conjunto de buenas prácticas para el diseño de medidas que nos ayuden a mitigar las posibles vulnerabilidades:

  • Arquitectura de red: Reducir al mínimo el número de conexiones con el sistema e identificar todas las conexiones. Aislar la red de control mediante un firewall para aislarla de los fallos del entorno de TI.
  • Firewalls: Implementar reglas de acceso estrictas para proteger las conexiones entre sistemas de control y otros sistemas. Los firewalls deben ser gestionados por administradores con experiencia. Establecer un sistema de monitorización 24/7.
  • Acceso remoto: Asegurarnos del conocimiento de los riesgos y las normas de seguridad por parte de los proveedores que accedan a la red. Mantener un inventario de todas las conexiones remotas. Implementar mecanismos de autenticación apropiados y seguros. Realizar auditorías con regularidad. Implementar un procedimiento para habilitar y deshabilitar conexiones remotas. – Restringir los accesos remotos a servidores/workstations específicos por usuario y ventana horaria.
  • Anti virus: Proteger los sistemas con un software antivirus.
  • Procedimiento de conexión de dispositivos: Establecer un procedimiento para verificar que los dispositivos están libres de virus antes de ser conectados a la red.
  • Acceso a Internet y email: Restringir el acceso a Internet y a servidores de correo.
  • Consolidación de sistemas: Deshabilitar servicios y puertos en desuso para prevenir un uso no autorizado. Conocer qué puertos están abiertos y qué servicios y protocolos los utilizan. Restringir el uso de CDs, disqueteras, USB, etc.
  • Seguridad física: Implementar medidas de protección para proteger el acceso físico a los equipos de red y sistemas de control.
  • Monitorización del sistema: Monitorizar en tiempo real los procesos, puertos y servicios para identificar comportamientos inusuales. Implementar sistemas de detección de intrusión. Revisar y analizar regularmente los archivos log.
  • Redes inalámbricas: Las redes inalámbricas están experimentando una gran acogida en los entornos de control debido a las importantes ventajas que proporcionan. Sin embargo, los sistemas inalámbricos pueden suponer un riesgo importante debido al cambio tecnológico continuo al que están sometidos. Los sistemas inalámbricos deben ser protegidos utilizando las buenas prácticas de la industria.
  • Parcheado de seguridad: Implementar procedimientos para la instalación de parches de seguridad en los sistemas operativos. Previo a una instalación, se debe comprobar que el parche ha sido certificado y validado por el proveedor.
  • Contraseñas y claves: Implementar políticas de caducidad y complejidad de contraseñas para todos los sistemas de control. Se recomienda que las contraseñas se cambien con frecuencia siempre que sea posible. Revisar regularmente los premisos de acceso y deshabilitar las cuentas antiguas. Cambiar las contraseñas por defecto de los dispositivos.
  • Auditorías de seguridad: Realizar auditorías de seguridad con regularidad para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse.
  • Gestión de vulnerabilidades: Implementar un sistema de gestión de vulnerabilidades para garantizar que estas se reducen al mínimo.
  • Pruebas de seguridad: Se deben ejecutar tests de seguridad siempre que sea posible en entornos dedicados para tal efecto.
  • Gestión del cambio: Certificar que todos los sistemas quedan sujetos a un proceso estricto de control de cambios aprobados por todos los departamentos afectados.
  • Copias de seguridad: Probar regularmente la integridad de las copias de seguridad a través de un proceso de restauración completa. Almacenar copias de seguridad dentro y fuera del CPD.

BIBLIOGRAFÍA

Guide to Industrial Control Systems (ICS) Security. [En línea]