Hoy deseo hablarles sobre un tema no tan conocido fuera del ámbito industrial. Los Sistemas de Control Industrial (ICS) están al límite entre lo privado y lo público. La infraestructura crítica está en manos de empresas que sirven al público, casi siempre. Las regulaciones de los gobiernos son lo único que motiva a muchas de estas compañías para que mantengan cierto nivel de seguridad.
El interés sobre los ICS ha aumentado desde que Stuxnet apareció en las noticias el año pasado. Esto se comprueba con el hecho de que la gente ha comenzado a publicar vulnerabilidades sin parchar y exploits. Los ICS y los sistemas llamados SCADA se enfocan en mejorar la fiabilidad y el tiempo de funcionamiento, pero la seguridad se ha quedado en un segundo plano.
De las pocas remediaciones a nivel país que se conocen, Irán curiosamente, aplicó una en 2010 cuando crearon un antivirus para eliminar el gusano Stuxnet. Este afectó los equipos industriales de todo el mundo, aunque tenía como blanco a las instalaciones industriales de Irán, sobre todo, la planta nuclear de Bushehr en el sur del país persa.
Hoy en día es necesario incluso contar con sistemas de antivirus industriales, que permitan no solo una protección reactiva, sino que complementen el anillo de seguridad de estándares ya conocidos.
De acuerdo a los nuevos estándares internacionales sobre Seguridad Cibernética, las responsabilidades de los proveedores de soluciones son:
- Garantizar el diseño de productos y aplicaciones con características de seguridad
- Avalar que éstos permiten a los clientes cumplir con los estándares de seguridad
- Proveer recomendaciones y metodologías que orienten la implementación de estos estándares
Y, respecto de los usuarios, las responsabilidades son:
- Definir procedimientos de seguridad (seguridad organizacional)
- Responsabilizar a las personas en el proceso (seguridad personal)
- Garantizar el cumplimiento de los estándares de seguridad
Basado en lo anterior podemos asegurar que la puerta de entrada del malware a una empresa, en un porcentaje muy alto, será por la mal-llamada capa 8: el usuario final. Acá es donde entran a jugar los antivirus.
Un ejemplo de la importancia de tener un buen antivirus y su respectiva asistencia técnica, lo dió F-Secure en 2013 cuando descubrieron que muchos ataques eran dirigidos al sector energético, por medio de la propagación de la familia de malware (presenta 88 variantes) Havex en ICS.
Havex es un Troyano de Acceso Remoto (RAT), que llega a sus víctimas a través de correos electrónicos no deseados (spoofing) y kits de explotación, pero para maximizar la probabilidad de infección, los atacantes también utilizaron la técnica watering hole o abrevadero.
Hay muchas marcas y aplicación variada de los antivirus que se podrían usar. Por ejemplo, CIFS Integrity Monitoring (CIM), que es el programa antivirus industrial de Phoenix Contact. Sin tener que descargar archivos de patrones de virus, CIM reconoce si los sistemas basados en Windows como sistemas de control, unidades de mando o PC han sido manipulados, por ejemplo por software malintencionado. El CIM presenta un componente llamado CIFS-Antivirus-Scan-Connector, que permite a los escáneres antivirus externos realizar un análisis en unidades de disco posteriores a FL MGUARD (router-firewall) y que no son accesibles desde fuera, como en los PC industriales en células de producción.
Kaspersky también ha ofrecido soluciones propias para la industria de purificación de agua, en el campo de los antivirus.
Recuerden siempre el enfoque "Defense in Depth" (DiD) en seis pasos:
A nivel de diseño:
1. Plan de Seguridad. Crear, aplicar y actualizar políticas y procedimientos de seguridad. Ellos deben evaluar la vulnerabilidad, mitigar los riesgos y definir cómo recuperarse de eventuales incidentes.
A nivel de implementación:
2. Separación de la red. Separar completamente el Sistema de Automatización y Control Industrial (IACS) de otras redes internas o externas creando subredes físicas o lógicas, de modo de añadir una capa adicional de seguridad a una red organizacional LAN (DMZ, demilitarized zone).
3. Protección de perímetro. Proteger el Sistema de Automatización y Control Industrial (IACS) contra accesos no autorizados a través del uso de firewalls, autenticación, autorización, VPN y programas de antivirus. Además, contemplar los eventuales accesos remotos al Sistema de Automatización y Control Industrial (IACS)
4. Segmentación de la red. Utilizar switches administrados y VLANs para dividir la red en segmentos. Esto permite contener eventuales brechas de seguridad dentro de un único segmento.
5. Robustez de los dispositivos. Configurar adecuadamente los dispositivos PLCs, PACs, PCs, switches, entradas/salidas e instrumentos para aumentar la seguridad: fuerte gestión de accesos vía passwords; definición de perfiles de usuarios; desactivación de servicios e interfaces sin uso.
A nivel de operación y mantenimiento:
6. Monitoreo y actualización. Permanente supervisión de las redes de comunicaciones y de todas las operaciones. Actualizar software y firmware para reducir la vulnerabilidad.
Recuerden siempre el enfoque "Defense in Depth" (DiD) en seis pasos:
A nivel de diseño:
1. Plan de Seguridad. Crear, aplicar y actualizar políticas y procedimientos de seguridad. Ellos deben evaluar la vulnerabilidad, mitigar los riesgos y definir cómo recuperarse de eventuales incidentes.
A nivel de implementación:
2. Separación de la red. Separar completamente el Sistema de Automatización y Control Industrial (IACS) de otras redes internas o externas creando subredes físicas o lógicas, de modo de añadir una capa adicional de seguridad a una red organizacional LAN (DMZ, demilitarized zone).
3. Protección de perímetro. Proteger el Sistema de Automatización y Control Industrial (IACS) contra accesos no autorizados a través del uso de firewalls, autenticación, autorización, VPN y programas de antivirus. Además, contemplar los eventuales accesos remotos al Sistema de Automatización y Control Industrial (IACS)
4. Segmentación de la red. Utilizar switches administrados y VLANs para dividir la red en segmentos. Esto permite contener eventuales brechas de seguridad dentro de un único segmento.
5. Robustez de los dispositivos. Configurar adecuadamente los dispositivos PLCs, PACs, PCs, switches, entradas/salidas e instrumentos para aumentar la seguridad: fuerte gestión de accesos vía passwords; definición de perfiles de usuarios; desactivación de servicios e interfaces sin uso.
A nivel de operación y mantenimiento:
6. Monitoreo y actualización. Permanente supervisión de las redes de comunicaciones y de todas las operaciones. Actualizar software y firmware para reducir la vulnerabilidad.
En fin, hay muchas recomendaciones y soluciones al caso, pero siempre es bueno escuchar a los expertos. Siemens tiene varias herramientas interesantes. El US CERT se pronunció al respecto hace un tiempo atrás. Los conmino a leer las recomendaciones.
Nos vemos.
No hay comentarios.:
Publicar un comentario