20 mar 2014

Soluciones avanzadas y auditoría frente a las vulnerabilidades de los sistemas de control industrial

Por Elyoenai Egozcue, ICS/SCADA and Smart Grid Security Line of Business Manager de S21sec

Los sistemas de automatización y control industrial han dejado de estar aislados y ahora es habitual verlos conectados con las redes TIC corporativas a través de la suite TCP/IP y medios cableados e inalámbricos (por ejemplo: Ethernet, Wifi, etc.).

Se produce una conexión de dos mundos que habían permanecido aislados previamente: Tecnologías de la Información (TI) y Sistemas de Control Industrial (SCI). Por esta razón, las instalaciones industriales –muchas de las cuales podrían ser catalogadas como infraestructuras críticas– deben extremar la precaución frente al crecimiento exponencial del número de vulnerabilidades conocidas que afectan cada vez más a los sistemas SCADA (el SCI más extendido) y otros sistemas de automatización y control. Para los atacantes, la desprotección de los SCI equivale a encontrarse con una caja fuerte abierta, ya que los SCI son el activo fundamental para la operación y el control de infraestructuas esenciales para la sociedad (redes de electricidad, de gas, control del tráfico, etc.), así como de los procesos de negocio básicos de cualquier organización industrial. Cada vez resulta más urgente, por tanto, que las organizaciones industriales tomen conciencia de la debilidad de estos sistemas y se pongan en manos de expertos que les ayuden a optimizar su protección.

Desde 2011, año en que apareció Stuxnet y puso en jaque la seguridad de la central nuclear iraní de Natanz, no han dejado de aumentar las publicaciones sobre vulnerabilidades de SCI, hasta el punto de que el 80 por ciento se ha descubierto en los últimos tres años. Estas vulnerabilidades no obedecen únicamente a fallos de software, sino que tienen que ver también con diseños defectuosos tanto a nivel de arquitecturas como de plataformas y software, configuraciones mal planteadas o falta de controles de seguridad. Muestra explícita de estas malas configuraciones y falta de controles de seguridad es lo fácil que ha resultado tener acceso a más de un millón de sistemas como turbinas, SCADA o cámaras de videovigilancia a través de Shodan, un motor de búsqueda disponible en Internet, capaz de localizar sistemas de todo tipo expuestos a Internet en todo el mundo, entre ellos los SCI.

Análisis de vulnerabilidades

Por un lado, podríamos hablar de vulnerabilidades técnicas o tecnológicas que afectan a los SCI.
  • Algunas de las más habituales incluyen aspectos como:
  • Perímetros de red indefinidos.
  • Ausencia de control de flujos de comunicaciones.
  • Uso no seguro de protocolos intrínsecamente inseguros: DNP, OPC, Profibus, Modbus, etc.
  • Accesos remotos y físicos no apropiados o mal configurados.
  • Existencia de servicios y funcionalidades activadas de forma innecesaria en equipos críticos.
  • Uso de configuraciones por defecto del fabricante.
  • Equipos desactualizados.
  • Capacidades de seguridad disponibles en equipamiento no activadas por defecto.
Por otro lado, podemos hablar de la ausencia de controles de seguridad, que en cierta forma podríamos definir como vulnerabilidades procedimentales o de carácter organizativo. Bajo esta categoría nos econtraríamos con ejemplos como:
  • Inexistencia de una normativa interna de diseño de sistemas Operational Technologies (OT).
  • Testeo inadecuado de los cambios de seguridad.
  • Falta de redundancia en equipos críticos.
  • Política inadecuada de seguridad para sistemas de automatización y control.
  • Guías de implantación de equipamiento OT deficientes o inexistentes.
  • Falta de mantenimiento, revisiones y parcheo en los equipos del alcance.
  • Escasez o ausencia de procedimientos de control en la modificación de hardware, firmware, software y documentación técnica.
  • Inexistencia de sistemas de monitorización (IDS/IPS, eventos/logs).
Es fundamental que toda organización detecte a tiempo estas deficiencias y ponga medidas adecuadas para su corrección. Para ello conviene establecer un programa adecuado de auditorías de carácter periódico sobre los SCI. Guías como NERC CIP o RG 5.71 establecen periodos de entre tres y seis meses.Como primer paso de cualquier auditoría se debe definir el nivel deseado y alcance de la misma, orientando el trabajo a los SCI en este caso.

Así mismo, debido a lo intrusivas/agresivas que resultan algunas pruebas de auditoría de seguridad, y teniendo en cuenta la criticidad de los SCI para el negocio, así como a su habitual funcionamiento en modo 24x7, el medio ideal para evaluar un sistema SCADA/SCI es un entorno controlado y libre de riesgos como un entorno de preproducción o de laboratorio. Sin embargo, no siempre es posible disponer de un entorno así que replique con exactitud el entorno real, es decir, donde estén disponibles todos los componentes, bien definidas sus interconexiones y con las mismas funcionalidades disponibles.

En realidad, no hay una metodología perfecta para auditar estos entornos y, por lo tanto, hemos de combinar distintas aproximaciones, como la combinación de un análisis no intrusivo en entorno de producción, que es el que realmente representa el estado de seguridad de los SCI de la organización, con uno activo-intrusivo en entorno replicado y/o en laboratorio.

Además, es fundamental contar con herramientas innovadoras que ayuden a automatizar el trabajo, evitando así que este exceso de complejidad y diligencia en el proceso de auditoría se traduzca en una imposibilidad de llevar a cabo el trabajo de forma efectiva y eficiente.Una vez finalizados los trabajos de auditoría se deben reportar las vulnerabilidades y plantear las recomendaciones para su mitigación, para lo cual es fundamental que éstas cumplan con los requisitos y limitaciones del sistema. Finalmente, se deberá comprobar que las soluciones y los parches implementados surten efecto.

Para ello, si es necesario se deberá repetir la auditoría.

Una visión completa

El factor diferencial de S21sec es su experiencia y tecnología, incluyendo una metodología y herramientas propias que le permiten ofrecer un verdadero análisis de vulnerabilidades técnicas y tecnológicas, de aplicativos SCADA y de otros elementos de control, así como de arquitecturas y sistemas en su conjunto, garantizando siempre la continuidad del negocio. Esta experiencia además le lleva a plantear recomendaciones que son viables técnicamente según el SCI auditado. En este sentido, cuenta con las soluciones más avanzadas para establecer un marco de seguridad integral que abarca tanto los sistemas de seguridad de la información como los de control industrial. Además del propio parcheo de vulnerabilidades, existen distintas técnicas y soluciones avanzadas compensatorias que permiten optimizar la seguridad de un entorno industrial. Entre las que suele recomendar S21sec encontramos:Í Hardening del sistema SCADA: Consiste en eliminar o bloquear funcionalidades innecesarias/inseguras de los distintos componentes.
  • Segmentación: Agrupación de sistemas por criticidad y niveles de confianza.
  • Firewalls: Configurarlos para permitir únicamente conexiones entre máquinas de confianza y servicios únicamente necesarios siguiendo las recomendaciones de las mejores prácticas de seguridad industrial de referencia.
  • Gateways unidireccionales: Se utilizan para convertir los SCADA y otros sistemas de control en sistemas inaccesibles desde redes de menor nivel de seguridad.
  • IPS (Intrusion Prevention System): Parcheo virtual de vulnerabilidades para las que se conocen exploits.
  • Whitelisting: Bloqueo de procesos no autorizados, bloqueo de dispositivos no autorizados para el acceso a hardware, control de uso de librerías, control de uso de parámetros y control de hardware crítico.

Conclusiones

Ante el creciente volumen de vulnerabilidades que afectan a los SCI, las organizaciones industriales no pueden mirar para otro lado si desean preservar su seguridad y mantener su reputación a salvo. El posicionamiento de S21sec en este segmento se resume en cinco líneas de actuación:
En un escenario donde los atacantes se multiplican y sus técnicas cada vez son más sofisticadas, los sistemas de automatización y control son demasiado vulnerables. Entre las causas principales sobresalen la dificultad de aplicar parches de seguridad, diseños inadecuados, configuraciones erróneas, etc.
Por otro lado, es esencial la ejecución de análisis de vulnerabilidades periódicos y exhaustivos como herramienta de mejora continua.

Asimismo, las organizaciones han de demandar especialización y compromiso a los proveedores de seguridad para garantizar el éxito del proceso de auditoría. En este sentido, es necesaria una metodología de riesgo nula, herramientas avanzadas, experiencia profesional, así como una mayor involucración del personal de cliente que en los entornos TIC clásicos.
El parcheo no es la única solución para poner cerco a las vulnerabilidades y potenciar la seguridad de los sistemas SCADA: técnicas como el hardening, segmentación, utilización de firewalls, gateways unidireccionales, whitelisting e IPS son altamente recomendables.

Fuente: Red Seguridad

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!