Conocer y categorizar las vulnerabilidades de un entorno industrial

SistelCONTROL | Vulnerabilidades Entorno Industrial

Conocer los procesos o disciplinas necesarias que permitan identificar las acciones intencionadas que pueden desencadenar un fallo en la seguridad de un entorno es un primer paso para diseñar una infraestructura más segura y robusta, que ayude a asegurar la disponibilidad de los sistemas críticos.

Proteger un entorno en la automatización industrial y control de procesos es un reto que no solo deben resolver las comunicaciones y datos tradicionales de un entorno IT, ya que en el entorno de la automatización entran en juego procesos en tiempo real con un impacto mayor en el entorno. Este impacto incluye costes de producción por paradas no programadas y las consecuencias que ello supone.

Años atrás, la red industrial y la red IT estaban técnicamente aisladas. Con la integración de ambas redes se han conseguido muchas mejoras, pero a su vez el riesgo ha incrementado exponencialmente debido a que se han quedado expuestas a los mismos riesgos y amenazas sin tener las mismas seguridades. Un error típico es pensar que una red aislada es una red segura. No importa cuántas zonas de seguridad se creen ni cuantos firewalls perimetrales se instalen; siempre habrá un acceso, tanto de entrad
a como de salida, que puede facilitar un ataque.

La disposición para aceptar las amenazas como una constante en todas las actividades ayudará a entender el riesgo y, por tanto, a mitigarlo. La amenaza más común a un entorno de control es la producida por un daño colateral desde un sistema vulnerable con visibilidad a la red industrial. Los dispositivos de campo, debido a su difícil acceso desde el exterior, pueden ser atacados de forma indirecta a través de sistemas comprometidos dentro de una red interconectada, los cuales tienen sistemas operativos y aplicaciones vulnerables.

Hay mucho que aprender de la seguridad IT, entre otras cosas porque su recorrido es mucho más extenso. La gestión y evaluación de riesgos y amenazas también está mucho más desarrollada; sin embargo, esta evaluación no siempre se puede aplicar a nuestro entorno debido al impacto que ello puede suponer sobre el mismo.

¿CUÁL ES LA RELACIÓN ENTRE AMENAZAS Y VULNERABILIDADES?

Las amenazas pueden ser ocasionadas por el propio sistema o por la interacción humana. Muchas organizaciones tienen un conocimiento limitado sobre el origen y objeto de una amenaza, ya que la percepción tradicional suele estar ligada a una incidencia mecánica y no a la lógica del proceso. Una vulnerabilidad es un fallo en el proceso o en el sistema del cual se aprovecha una amenaza con objeto de comprometerlo. Cuanto más vulnerable sea un sistema, mayor será el riesgo al que nos enfrentamos.

Las vulnerabilidades o amenazas, por separado, no representan un peligro, pero si se juntan entra en juego el factor riesgo: la combinación de la probabilidad de que ocurra un daño y la gravedad de este daño. A continuación se identifican los procesos o disciplinas necesarias que permitirán identificar las acciones intencionadas que puedan desencadenar un fallo en la seguridad de un entorno. Conocer estos fallos es un primer paso para diseñar una infraestructura más segura y robusta, que ayude a asegurar la disponibilidad de los sistemas críticos.

¿CÓMO CATEGORIZAR, ENTENDER Y GESTIONAR LAS VULNERABILIDADES?

Desde el punto de vista de la gestión de riesgo, es posible dividir las vulnerabilidades en 4 tipos:

  • Vulnerabilidades de gestión.
  • Vulnerabilidades de operación.
  • Vulnerabilidades funcionales.
  • Vulnerabilidades técnicas.

VULNERABILIDADES DE GESTIÓN

  • Gestión del riesgo: La gestión del riesgo es una práctica que debe documentar los riesgos críticos del negocio para poder diseñar una estrategia de seguridad adecuada. No sirve de nada tener las contramedidas más avanzadas y robustas del mercado si estas no están alineadas con los riesgos del negocio.
  • Presupuestos adhoc: La seguridad se debe enfocar como un programa a seguir de forma continua y no como un ejercicio puntual, ya que hay que estar continuamente adaptándose al ritmo al cual avanza. Una solución de seguridad que no se adapte a las amenazas existentes no cumplirá con los objetivos para la cual ha sido diseñada.
  • Formación: Debido a que cada día aparecen nuevas vulnerabilidades, un aspecto crítico a tener en cuenta es la formación del personal que gestiona cualquier ámbito de la seguridad.

VULNERABILIDADES OPERACIONALES

  • Separar el tráfico de red: Muchas organizaciones tienen la red industrial como una extensión de la red IT debido a la necesidad de acceder a los datos en cualquier momento. Es recomendable separar el tráfico de ambas redes dedicando las electrónicas de red para cada entorno.
  • Gestión de cuentas: En redes industriales, con frecuencia, la eficiencia administrativa implica una carencia en prácticas de seguridad. Por ejemplo, compartir la cuenta de administrador o tener contraseñas comunes a varios usuarios suele ser una práctica común. En caso de un accidente, un análisis forense se convierte en una tarea difícil, ya que no hay una trazabilidad legible.
  • Procedimientos de acceso remoto: Controlar el acceso, las cuentas de usuario utilizadas, las direcciones IP que pueden acceder, los permisos, auditar la seguridad del proveedor que se conecta y restringir el acceso por zonas entre otros es una tarea obligatoria.
  • Despliegue de sistemas wireless: El acceso a estas redes es mucho más fácil que a una red física. Son mucho más fáciles de detectar y suelen tener una arquitectura de seguridad menos robusta.
  • Procedimiento de detección de incidentes: En la gran mayoría de casos no existe un procedimiento específico para detectar amenazas. Aunque un sistema comprometido es difícil de diagnosticar, es posible basarse en otro tipo de indicadores que muestren un funcionamiento anómalo del sistema, como puede ser el uso excesivo de recursos del sistema o picos en el uso de red.
  • Gestión del cambio: Una gestión del cambio inexistente o no rigurosa representa un alto riesgo. Una gestión del cambio pobre en el entorno IT es otra vulnerabilidad para una red industrial. Por ejemplo: una modificación en la configuración de un switch u otra electrónica que se comparta con la red industrial o un switch dedicado para nuestra red gestionado por IT debido a su fragilidad.

VULNERABILIDADES FUNCIONALES

Los dispositivos de campo suelen estar formados por dos interfaces, una conectada a la red IP desde la cual le llegan órdenes de un servidor scada, y la interface de E/S, la cual controla las funciones físicas de producción. Si un atacante puede alcanzar de forma lógica un dispositivo de campo, es posible diferenciar 6 clases de impactos funcionales:

  • Denegación de visión y pérdida de visión: Resultado de un fallo temporal o permanente de las comunicaciones en la tarjeta IP. La afectación funcional es la pérdida de la información en el proceso de producción.
  • Manipulación de visión: Modificación de los datos que el operador visualiza para provocar una acción inapropiada. En este caso no hay impacto en la funcionalidad de la interfaz IP o la de IO.
  • Denegación de control y pérdida de control: Denegación temporal o permanente del control sobre la interfaz de E/S.
  • Manipulación de control: Intercepta las funciones que envía el operador al dispositivo para modificar el código causando reacciones que afecten al proceso de producción.

VULNERABILIDADES TÉCNICAS

Hay una lista muy extensa de vulnerabilidades relacionadas con software, hardware o la red y, debido a la gran cantidad de fallos que se publican cada día, esta lista sería incompleta. Hay varias páginas con todas las vulnerabilidades publicadas, como por ejemplo www.mitre.org.

VULNERABILIDADES COMUNES

Las vulnerabilidades más comunes en un entorno industrial son:

  • Sistemas sin actualizar: Debido al ciclo de vida de los sistemas de control, muchos sistemas ejecutan firmwares y sistemas operativos sin actualizar, los cuales tienen vulnerabilidades publicadas. La gran mayoría de sistemas de control utilizan los mismos sistemas operativos que un departamento IT con las misma vulnerabilidades, pero sin el mismo nivel de parcheado. Normalmente, el proceso de actualización es un proceso manual que suele llevar un tiempo a ser aplicado.
  • Técnicas de programación inseguras: Debido a los requerimientos de complejidad inherentes a un entorno de control, muchas implantaciones están desarrolladas con código inseguro. Por otro lado, muchas aplicaciones han sido desarrolladas por personal sin nociones sobre seguridad, lo que puede llevar a un sistema a sufrir ataques derivados de esta vulnerabilidad.
  • Dispositivos IT en redes industriales: Dispositivos como portátiles y servidores son un elemento común en las redes industriales. Estos elementos tienen sistemas operativos con vulnerabilidades conocidas, los cuales pueden causar daños colaterales en la red industrial.
  • Defectos en la red: Las redes actuales, en especial las de los sistemas de control, tienen funcionalidades que han sido desplegadas sin un análisis de seguridad suficiente y pueden ofrecer acceso a los atacantes una vez descubiertos.
  • Protocolo OPC: El protocolo OPC es un protocolo inseguro. Está basado en la tecnología DCOM de Microsoft, cuya seguridad se ha visto comprometida hasta el punto de que ya no se utiliza en entornos IT. Si bien es cierto que el protocolo OPC UA soluciona las carencias de seguridad del protocolo OPC, en el 90% de las instalaciones todavía se utiliza OPC.
  • Ataques a bases de datos: Los servidores de bases de datos se han convertido en las aplicaciones centrales de un sistema de control debido a la información que almacenan. Estos deben seguir las prácticas de seguridad adecuadas.
  • Capacidad de memoria y procesamiento limitada: Los dispositivos de campo están diseñados con una capacidad de procesamiento y memoria limitada al fin para el cual han sido diseñados. Este diseño tiene como ventajas un diseño robusto que soporta un ciclo de vida más largo y un coste de implantación y mantenimiento mucho menor. Además, al tener opciones limitadas, la probabilidad de un error de seguridad por parte del operador también es limitada. Por otro lado, el coste de dicha simplicidad conlleva que estos dispositivos, en la gran mayoría de casos, no se puedan actualizar o parchear. Su software y hardware no soportan la instalación de mejoras de seguridad.
  • Procedimientos de ciberseguridad: Con la integración de las redes y el aumento de la complejidad de las operaciones, el personal que tiene acceso a la red también ha aumentado. Se deben desarrollar y mantener alineados con el negocio unos procedimientos de ciberseguridad robustos.
  • Tecnologías de seguridad IT en entornos industriales: Las soluciones de seguridad IT se caracterizan por añadir una capa adicional de software a los dispositivos u otro dispositivo a la red, por ejemplo, un firewall o un sistema de detección de intrusiones. Este tipo de soluciones no son fácilmente aplicables, ya que acostumbran a añadir estrés al proceso y, por lo tanto, afectan al funcionamiento, ya sea por la latencia que dichos dispositivos generan o porque añadir dispositivos intermedios puede ser un motivo de peso para que el proveedor deje de proporcionarnos soporte.

A MODO DE CONCLUSIÓN

Los incidentes en ciberseguridad se producen constantemente. Cuando analizamos una incidencia ocasionada en un cliente, en muchos casos vemos que se trata de un error tecnológico, ya sea un bug en el proceso o un error malintencionado producido por cualquier tipo de malware. Un entorno que no conoce sus vulnerabilidades es un entorno que no se ha sometido a un diagnóstico en profundidad.

BIBLIOGRAFÍA

Auerbach Publications (2011). Cybersecurity for industrial control systems.
Process control and SCADA security. [En línea]