RIoT & R-ICS: Entender y gestionar los Riesgos asociados al Internet de las cosas y los sistemas de control industrial

El Internet y las diversas tendencias de desarrollo que han nacido gracias a la evolución tecnológica continúan transformando la forma en que operan los sistemas y los humanos, ofreciendo maneras de simplificar y acelerar los esfuerzos humanos con resultados amplios. Pero los mismos sistemas y desarrollos permiten a diversos actores poder lanzar ataques sofisticados que puedan paralizar una fabrica, una institución publica, una red eléctrica o una ciudad entera.

IoT es un termino que se usa para definir tanto una impresora como una cámara o frigorífico incluso una lavadora o cualquier otro equipo cotidiano conectados a internet. También se usa en muchas ocasiones para referirse a equipos industriales conectados a internet de forma directa o indirecta. Pero para entender un poco y diferenciar los distintos tipo de IoT vamos a dividirlos en 3 categorías:

1. IoT: Internet de las cosas (en inglés, Internet of things, abreviado IoT) es un concepto que se refiere a la interconexión digital de objetos cotidianos con internet. Alternativamente, Internet de las cosas es la conexión de Internet con más “cosas u objetos” que personas. También se suele conocer como internet de todas las cosas o internet en las cosas.
2. IIoT: La versión industrial del IoT se conoce como IIoT, Industrial Internet of Things, de sus siglas en inglés. Incluirá determinismo, fiabilidad y sincronismo.
3. Smart OT: Dispositivos exclusivamente industriales o dispositivos que nos ayudan a convertir una señal o conjuntos de señales industriales a TCP/IP o equipos de instrumentación de campo con capacidad de conexión directa a internet y con capacidad de tratar los datos antes de transmitirlos.

Todos estamos familiarizados con los distintos tipos de ataques sea simplemente por las noticias y si estas leyendo este articulo doy por supuesto que los ataques del tipo DoS y DDoS te los has cruzado en mas de un articulo o reportaje de television y el concepto de un ataque de denegación de servicio esta claro. Vamos a hablar de los otros 6 dominios de tipo "D"enegacion que son específicos para entornos o dispositivos industriales.

Dependiendo del estado de la red de ICS o dispositivos IIoT, algunas o incluso todas las seis clases de vulnerabilidades pueden estar presentes. Desde la perspectiva de la gestión de riesgos y la presentación de informes, las siguientes taxonomías permiten una evaluación del tipo de informe rápida y clara.

Denial of view (DoV): Similar a un ataque DoS o DDoS provoca un fallo o interrupción temporal de la interfaz de comunicación, donde la interfaz se recupera y se vuelve disponible una vez que la condición de interferencia disminuye. Este tipo de ataque habitualmente no altera la lógica de control dentro del PLC / RTU incluso si se produce un DoV. La pérdida de información sobre la producción puede aparecer como una des-aceleración en la producción y generar des-aceleraciones en cascada (e injustificadas) en otras partes del proceso de producción mientras la interferencia persiste. Los sistemas de gestión empresarial también pueden verse afectados, proporcionando una imagen inexacta a la gestión mientras persiste la interferencia. DoV puede afectar también la infraestructura de producción, creando el riesgo de que los operadores tomen acciones inapropiadas o dañinas debido a datos incompletos o erróneos del estado del sistema.

Loss of view (LoV): Similar a un ataque DoS o DDoS provoca un fallo o interrupción permanente de la interfaz de comunicación , donde la interfaz se recupera y se vuelve disponible una vez que la condición de interferencia disminuye. Este tipo de ataque habitualmente no altera la lógica de control dentro del PLC / RTU incluso si se produce un DoV. La pérdida de información sobre la producción puede aparecer como una des-aceleración en la producción y generar des-aceleraciones en cascada (e injustificadas) en otras partes del proceso de producción hasta que el operador local pueda restaurar la funcionalidad. Los sistemas de gestión empresarial también pueden verse afectados, proporcionando una imagen inexacta a la gestión mientras persiste la interferencia. LoV puede afectar también la infraestructura de producción, creando el riesgo de que los operadores tomen acciones inapropiadas o dañinas debido a datos incompletos o erróneos del estado del sistema.

Manipulation of view (MoV): Este tipo de ataque, quisaz de los mas peligrosos y difíciles de detectar. MoV no impacta la funcionalidad de la interfaz de comunicaciones IP o la interfaz de control de E / S. MoV puede engañar a los operadores para ejecutar secuencias de control inapropiadas que introducen defectos y posiblemente reacciones catastróficas dentro del proceso de producción. Los sistemas de información de empresas también pueden estar contaminados con información errónea. MoV en una infraestructura de ICS crea el riesgo de que los operadores tomen acciones inapropiadas o dañinas debido a la información manipulada o modificada referente al estado del sistema. También se puede dar que una situación donde DoV genera errores que simulan datos legítimos de ICS al HMI / historiador. En este caso, un fallo en un dispositivo de ICS resulta en el dispositivo enviando mensajes falsos de "estado OK" al SCADA / DCS mientras se incrementan los fallos en el proceso.

 Denial of control (DoC): La imposibilidad temporal de actuar sobre entradas y salidas de un PLC o controlador (I/O). DoC puede ser involuntario o intencional: DoC no intencional incluye accidentes del operador, fallos de hardware o condiciones que tienen un impacto negativo en las interfaces I/O, como fallos de red o capacidad de red inadecuada. Un ataque a un dispositivo ICS, tal como un PLC, se dirija específicamente a fallos en la pila de comunicaciones IP; sin embargo, las interacciones entre la pila de comunicaciones IP y la interfaz de I/O analógicas hacen que la interfaz de I/O falle o deje de comportarse de acuerdo a su programación. Una vez que la degradación o la interferencia en la interfaz de comunicaciones IP desaparece y la interfaz de comunicaciones vuelve a la normalidad, la interfaz I/O reanuda su funcionamiento normal. Un DoC intencionado puede ser detectado por un operador al percibir el mal funcionamiento del HMI al intentar de realizar determinadas acciones de control

Loss of control (LoC): Una pérdida sostenida de las capacidades de comunicación en las que los operadores no pueden emitir ningún tipo de comando incluso si la amenaza ha cesado. LoC puede ser involuntario o intencional: al igual que DoC, el LoC no intencional incluye accidentes del operador, fallos en el hardware o condiciones temporales de DOV que tienen un impacto sistémico sostenido sobre las interfaces I/O. Por ejemplo, es posible que un ataque a un dispositivo ICS como un PLC sea dirigido específicamente a fallos en la pila de comunicaciones IP y sin embargo, las interacciones del dispositivo entre la interfaz de comunicaciones IP y la interfaz de I/O analógicas hacen que esta falle permanentemente o deje de comportarse de acuerdo a su programación. El LoC intencional puede resultar en una amenaza contra la interfaz I/O que no impacta la pila de comunicaciones IP, pero desactiva la interfaz de control de I/O, permitiendo posiblemente que los operadores vean de verdad cómo el dispositivo ICS realiza un comportamiento erróneo o no programado sin ninguna capacidad para controlarlo. En situaciones de LoC, el control de la interfaz de E / S sólo puede restaurarse mediante la intervención del operador local sea reiniciando o reemplazando el dispositivo.

Manipulation of control (MoC): este tipo de ataque se refiere a la alteración de la lógica de control dentro del PLC / RTU por parte de terceros, y los comandos legítimos del operador sobrescritos. El MoC no afecta la funcionalidad de la interfaz de comunicaciones IP o la interfaz de control I/O. MoC puede anular, interceptar y/o cambiar los comandos del operador y aplica secuencias de control inapropiadas que introducen defectos y reacciones posiblemente catastróficas dentro del proceso de producción. MoC en una infraestructura de ICS crea el riesgo de que actores maliciosos asuman el control de la infraestructura de producción y provoquen deliberadamente errores críticos para arruinar la producción o destruir la infraestructura.

Las vulnerabilidades o ataques descritos anteriormente son útiles para analizar fallos previamente conocidos como vulnerabilidades ICS desconocidas o sin catalogar desde un punto de vista de seguridad. Por ejemplo, al revisar LoV o MoV de un sistema, los analistas de seguridad y los ingenieros de control pueden evaluar el potencial de una visión inexacta o manipulada del estado actual del sistema, visión que podría llevar a los operadores a tomar acciones potencialmente dañinas.