Ciberseguridad en el mundo OT

Hace más de 18 años mi primer trabajo fue como ingeniero de automatización industrial o "HMI guy". A pesar de haber pasado tanto tiempo, estoy casi seguro que muchos workstations y servidores instalados siguen en producción con versiones Windows XP SP2. En aquellos tiempos aunque ya nos preocupábamos por "bastionar" Windows para que los operarios no perdiesen el tiempo jugando al solitario, instalasen programas no autorizados o conectasen dispositivos USB. Nunca nos preocupabamos de proteger los sistemas frente ataques de ransomware, ARP spoofing, etc. En realidad, lo prioritario era tener una conexión remota para evitar desplazamientos a Turquia, Estados Unidos o Suecia.

La convergencia del mundo OT y el mundo IT ha supuesto grandes mejoras en la eficiencia operativa de los procesos industriales, pero también ha introducido nuevos riesgos cibernéticos que pueden causar importantes pérdidas financieras, daños de reputación e incluso amenazar a la seguridad de los ciudadanos, en el caso de las infraestructuras críticas.

CIBERSEGURIDAD OT vs CIBERSEGURIDAD IT

¿Qúe es la seguridad OT? La tecnología de las operaciones (OT) está dedicada a detectar o cambiar procesos físicos a través de la monitorización y el control de dispositivos también físicos.

El (ciber)riesgo es riesgo de negocio, un ataque de ransomware desde cualquier lugar del mundo podría dejar parada una fábrica causando pérdidas millonarias.

Desde el punto de vista OT la seguridad ("safety") y la disponibilidad son prioritarias frente al mundo TI donde las prioridades son la confidencialidad y la privacidad de los datos. Otras diferencias son el uso de protocolos especializados y dispositivos con software "legacy" que no se pueden actualizar y que existe muy poca visibilidad sobre los activos.

Tradicional las redes industriales son "air gapped", lo que signfica que están aisladas de otras redes corporativas y, por supuesto, de Internet. Esto no es de todo cierto, por ejemplo, haciendo una rápida búsqueda en shodan podemos descubrir SCADAs directamente conectados a Internet usando el protocolo RDP.

También los incidentes y los procedimientos de respuesta son diferentes. En el mundo TI tenemos que enfrentarnos contra denegaciones de servicio, pérdida de datos o destrucción de información. En el mundo OT pueden enviar comandos de control no autorizado que generan múlitples disparos en interruptores provocando cortes de energía en cascadada, provocar paradas de producción con malware malicioso que cambia la programación del PLC. Y hasta causar daño físico, si una maleta de programación con Windows XP está comprometida y desactiva en el PLC los sistemas de apagado de emergencia ("safety") que puede provocar una explosión si superan los umbrales de temperatura.

DESAFIOS DE LA SEGURIDAD OT

Los principales desafios de ciberseguridad en entornos industriales están relacionados con:

• Limitada cultura de ciberseguridad. Una limitada cultura de ciberseguridad, la cultura pivota sobre Safety & Fiabilidad. Falta concienciación y formación en ciberseguridad entre los empleados y equipo directivo.
• Gobierno de la ciberseguridad. Ambigüedad en las responsabilidades de la seguridad OT, limitada integración y sinergias entre los equipo TI y equipos OT
• Faltan políticas y procedimiento para la ciberseguridad OT. Reutilizar políticas TI muchas veces no aplican en el mundo OT. Un claro ejemplo son los procedimientos de remediación o parcheado.
• Sistemas y equipos obsoletos. En el entorno de producción usan versiones de productos con vulnerabilidades conocidas y/o EOL. Además los Sistemas legacy admiten herramientas limitadas (adquisición v/s integraciones).
• Escasa visibilidad. Inventario de activos sin actualizar con activos desconocidos, tecnología limitada. Todo ello, conduce a una menor visibilidad
• Redes planas sin segmentar. Prácticas inadecuadas para soportar una segmentación clara de las redes. Además del uso de redes inalámbricas y protocolos de comunicación inseguros y mínima seguridad física para el acceso a los cuartos de comunicaciones.

GOBIERNO & ESTRATEGIA

Es necesario combinar el uso de frameworks, estándares, tecnología y los drivers de negocio para crear una estrategia de ciberseguridad ejecutable.

Según la NIST SP 800-82 Rev. 3, para PROTEGER un sistema de control se deben seguir los siguientes pasos:

• Poner a alguien al mando. Designar una o más personas para liderar los esfuerzos de ciberseguridad en los sistemas de control.
• Conocer lo que tú sabes. Documenta los tipos de activos de computadoras y sistemas de control que tienes, como cual activo está usado, y determinar los activos más críticos. Comprobar y quitar los activos no autorizados.
• Establecer relaciones de ciberseguridad. Unirse a comunidades de ciberseguridad y establecer relaciones con fabricantes e integradores quien te ayuden a aplicar buenas prácticas de ciberseguridad.
• Cambiar la password por defecto. Comprueba tus activos por password por defecto, y cambiar pasword de invitados. No mostrar password en texto plano.
• Proteger activos de manipulación. Mantenga los activos críticos seguros físicamente y mantenga los activos del sistema de control, como los PLC y los sistemas de seguridad, en la posición “RUN" en todo momento, a menos que se estén programando activamente.

Pasos adicionales para GESTIONAR el ciber-riesgo en sistemas de control:

• Formación y concienciación. Formación para los usuarios de sistemas de control en responsabilidades de ciberseguridad y buscar cosas fuera de lo normal, lo cual puede ser una evidencia de incidente de ciberseguridad
• Gestión de credenciales de usuario y acceso. Comprobar quien tiene acceso on-site y remoto a tus sistemas, y revocar acceso que no sea necesario deshabilitando inmediatamente las cuentas y revocando Ids cuando alguien deja la organización
• Gestionar las vulnerabilidades. Mantener los activos actualizados y totalmente parcheados. Priorizar el parcheado en máquinas “PC” usadas para HMI, servidores de base de datos, y Workstation de ingeniería. Deshabilitar los puertos y servicios no usados. Implementar tecnologías antivirus/antimalware/antiphishing donde sea posible para prevenir, detectar, y mitigar malware incluido ransomware.
• Implementar control de aplicaciones. La naturaleza estática de algunos activos del sistema de control, tales como servidores de base de datos, HMIs, y Workstation de ingeniería, hace que sean candidatos ideales para ejecutar soluciones de control de aplicación
• Preparar para recuperarse de un incidente de ciberseguridad. Desarrollar e implementar un plan de recuperación. Planificar, implementar, y test sistemas de backup y estrategias de restauración.
• Monitorización continua. Vigilancia en "near real-time" de los perímetros y el tráfico de entrada y salida a cada zona.

Otro framework es IEC 62443 (ISA 99) que se ha convertido en un estándar global para sistemas de control industrial (ICS) que se central en las siguientes capacidades/controles:

• Realización de evaluaciones de riesgos cibernéticos de OT
• Creación de equipos de gestión de seguridad cibernética de OT
• Parcheado y otras capacidades/controles de protección
• Requisitos estructurados tanto en soluciones como en productos
• Ciclo de vida de seguridad de activos y sistemas
• Aislamiento, segmentación y protección de zonas de red
• Procesos derivados y gobernanza
• Creación de roles y responsabilidades apropiados para usuarios o recursos
• Evaluación de los factores de reducción del riesgo cibernético (CRRFs)

PURDUE MODEL

El modelo de referencia de Purdue, adoptado por ISA-99, es un modelo para la segmentación de redes del Sistema de control industrial (ICS) que define seis capas dentro de estas redes, los componentes que se encuentran en las capas y controles lógicos de zonas de red para proteger estas redes.

Una evolución de la ISA99, es el estándar, ya citado, IEC-62443,donde se introducen los conceptos de "zonas" y "conductos" para una mayor segmentación segura de las redes industriales aplicando la defensa en profundidad.

Las zonas de seguridad son “agrupaciones de activos físicos o lógicos que comparten requisitos comunes de seguridad, las cuales tienen la frontera (física o lógica) claramente definida”. Las conexiones entre estas zonas se denominan conductos y deben incluir medidas de seguridad para controlar el acceso a las mismas, resistir ataques de denegación de servicio, evitar la propagación de cualquier otro tipo de ataque, hacer de escudo para otros sistemas de la red y proteger la integridad y la confidencialidad de las comunicaciones.

Una zona de seguridad requiere de un nivel objetivo de seguridad (SLT), que se basa en factores de criticidad e impacto. El equipamiento de la zona de seguridad deberá tener un nivel de prestación de seguridad (SLC) que deberá ser igual al SLT. Si no lo son, es necesario incluir tecnologías de seguridad y/o políticas/procedimientos para compensar el desfase.

Así, por ejemplo, si tenemos un sistema que incluye varios equipos de supervisión basados en Windows XP/server 2003 (p. ej. HMI, histórico, etc.), así como múltiples PLC para realizar funciones de control local, si los incluimos en la misma zona, el SLT debería ser el mismo para todos. Esto no es práctico, la mejor solución pasa por definir dos zonas distintas, una para los PLC y otra para los equipos Windows, interconectadas mediante un “conducto” y enfocarse en asegurar cada una de estas zonas por separado, así como el conducto en sí mismo. El aseguramiento del conducto mediante un cortafuegos, por ejemplo, ya eleva el SLC de cada zona.

Al momento de modelar las zonas y conductos hay una serie de reglas importantes que los profesionales de seguridad deben tener en consideración:

• Una Zona puede tener Sub-Zonas.
• Un Conducto no puede tener Sub-Conductos.
• Una Zona pueden tener más de un Conducto. Los Ciber-Activos (HOST) dentro de una Zona utilizan uno o más Conductos para comunicarse.
• Un conducto no puede atravesar a más de una Zona.
• Un conducto puede ser utilizado para que dos o más Zonas se comuniquen entre si.

Recapitulando, proteger los sistemas OT comienza implementado los conceptos básicos de seguridad como definir roles y responsabilidades, implantar un modelo de gobernza de la seguridad, fomentar una cultura de seguridad y mayor visibilidad, porque no se puede proteger lo que se desconoce que existe.

"Todos quieren cambiar el mundo, pero nadie piensa en cambiarse a sí mismo" Alexei Tolstoi