Vulnerabilidades en Sistemas de Control Industrial, SCI

Como ya hemos citado en artículos anteriores, las vulnerabilidades descubiertas en los sistemas de control y automatización industrial han ido en aumento de forma constante. Lejos queda la aparición de Stuxnet allá por el año 2010, al que han seguido otros nuevos, o incluso como citan algunas fuentes, algún precursor conocido después.

No debemos pensar que antes de este año no existieran vulnerabilidades que afectasen a este tipo de entornos. Sino que, el interés sobre estos ámbitos por parte de los profesionales vinculados a la ciberseguridad, ha ido en aumento. Gracias a ello, se ha difundido más cantidad de contenido técnico acerca de investigaciones, resultados y avances. El hecho de que protocolos basados en buses de campo comenzaran a implementarse sobre Ethernet y TCP/IP, ha permitido su uso sobre redes conmutadas tradicionales aumentando su exposición frente a todo tipo de amenazas.

En paralelo, debido a las filtraciones de estos últimos años como “Wikileaks” y “Caso Snowden”, además supimos que las Centrales de Inteligencia eran conocedoras de estas brechas explotables y que las ocultaron para aprovecharse de ellas con fines estratégicos o de espionaje contra amigos y enemigos.

Los ejemplos más conocidos de malware industrial son Stuxnet y Duqu, aunque también podemos tener otros como Havex, BlackEnergy 2, Conficker, NightDragon entre otros afines.

Pero todo no es malo, al contrario. Afortunadamente, organizaciones, empresas y gobiernos están tomando conciencia y, cada cual a su nivel, elaboran legislación para Protección a Infraestructuras Críticas, Eventos Tecnológicos, Guías, Formación a Profesionales, entre otras iniciativas y compromisos, para ayudar así a la securización y prevención de incidentes en este tipo de entornos.

Para que un atacante pueda llevar a cabo una acción determinada, deberá en una primera instancia aprovecharse de una vulnerabilidad y, mediante su explotación, alcanzar su, o sus propósitos. Existen distintos métodos para categorizar las vulnerabilidades, pero en este caso hablaré de la que hace el NIST en su publicación 800-82 Revisión 2. El propósito de este documento es proporcionar una guía para la securización de Sistemas de Control Industrial (ICS); incluyendo los Sistemas de Control y Adquisición de Datos (SCADA); Sistemas de Control Distribuido (DCS) y otros sistemas implicados en este tipo de entornos.

Debemos tener presente que algunas vulnerabilidades podrán ser mitigadas, mientras que otras no, debiendo ser aceptadas y controladas aplicando algún otro tipo de contramedida.

La aparición de nuevas vulnerabilidades diversifica aún más las casuísticas de nuevos incidentes con lo que este tipo de guías que pretenden orientar sobre cómo evitarlas deben adaptarse a los nuevos tiempos. Prueba de ello es que el documento el 800-82 original establecía 3 grandes grupos.

  1. Vulnerabilidad de plataforma
  2. Vulnerabilidades de red
  3. Vulnerabilidades a nivel de políticas y procedimientos.

Las dos primeras se enmarcan dentro del ámbito de vulnerabilidades técnicas o tecnológicas, ya que afectan a los dispositivos en sí, su software o sus comunicaciones. El tercer grupo afecta a la propia organización, al marco de gestión de la seguridad y a las normativas y procedimientos que se establecen para tratar con los sistemas de automatización y control, y en particular para garantizar su seguridad y protección.

Sin embargo, el borrador final de esta segunda versión publicada en febrero de 2015, ya aumentaba en 3 las vulnerabilidades de corte técnico.

En dicho apartado, se comienza por definir los conceptos de “Vulnerabilidad” y “Riesgo”, los cuales conviene tener claro. Los recordamos.

Vulnerabilidad: Son aquellas debilidades en los sistemas de información, procesos, implementaciones o controles sobre sistemas, que pueden ser explotadas por una amenaza. Sobre los tipos de amenazas ya escribía en los siguientes post “Amenazas sobre ICS (Parte I)” y “Amenazas sobre ICS (Parte II)”.

Riesgo: Propiedades de una organización, procesos de negocio, arquitectura, y sistemas de información que puedan favorecer en la probabilidad de que un evento generado por una amenaza pueda surtir efecto.

Como decía se mantiene el planteamiento de dos grandes grupos, unos referidos a nivel organizativo y otros a nivel técnico, éste último dirigido a sistemas, contemplando componentes, comunicaciones y software.

1.- Vulnerabilidades y Riesgos de Políticas y Procedimientos

  • Políticas de seguridad inadecuadas.
  • Falta de programas de formación y concienciación.
  • Ausencia o guías deficientes de implementación de Sistemas de Control Industrial.
  • Falta de mecanismos administrativos que hagan cumplir las políticas de seguridad.
  • Revisiones inadecuadas de los controles de seguridad.
  • Planes de contingencia no específicos.
  • Falta de políticas y procedimientos de gestión de cambios, control de accesos, métodos de autenticación.
  • Planes y procedimientos inadecuados en materia de respuesta ante incidentes.

2.- Vulnerabilidades y Riesgos en Sistemas de Control.

2.1.- Vulnerabilidades de arquitectura y diseño

  • Inadecuada incorporación del concepto seguridad dentro de las fases de diseño y la arquitectura.
  • Operativa de sistemas industriales sujeta a intereses de negocio (productividad) sin considerar factores de seguridad.
  • Perímetros de red no definidos.
  • Tráficos de red tanto de ICS como de otros dispositivos implementados sobre la misma infraestructura de red.
  • Servicios no controlados. Por ejemplo, DNS, DHCP, NTP, etc.
  • Inadecuado almacenamiento y tratamiento de logs.

2.2.- Vulnerabilidades de Configuración y Mantenimiento

  • Hardware, software y firmware no contemplados dentro de la gestión de configuraciones.
  • Nuevas versiones de software y sistemas operativos no implementados hasta la publicación de sus respectivas vulnerabilidades.
  • Software o sistemas operativos fuera de soporte o que el fabricante no desarrolla nuevos parches para vulnerabilidades conocidas.
  • Pruebas inadecuadas sobre cambios que afecten a la seguridad.
  • Controles de acceso remoto insuficientes o faltos de medidas de seguridad.
  • Configuraciones de equipos críticos sin copias de respaldo.
  • Información sensible almacenada en dispositivos portátiles.
  • Generación de contraseñas no sujetas a procedimientos y políticas.
  • Aplicación inadecuada de control de acceso a dispositivos.
  • Replicación de datos entre sistemas innecesarias o sin aplicar medidas de protección.
  • Software antivirus no instalado o desactualizado.
  • Despliegue de software antivirus sin realizar suficientes pruebas que puedan afectar al rendimiento o funcionalidad.
  • Empleo de software vulnerable susceptible de DoS.
  • Sistemas IDS/IPS no instalados.
  • Almacenamiento de logs mal gestionados o configurados.

2.3.- Vulnerabilidades y Riesgos de carácter Físicas.

  • Acceso físico a dispositivos por parte de personas no autorizadas.
  • Existencia de señales electromagnéticas, picos de tensión, cargas electromagnéticas que puedan afectar al funcionamiento o dañar los equipos.
  • Pérdida de suministro eléctrico de respaldo. Por ejemplo, apoyo de grupo electrógeno o segunda línea eléctrica.
  • Pérdida de control sobre niveles ambientales como humedad, temperatura, polvo en suspensión.
  • Puertos físicos desatendidos.

2.4.- Vulnerabilidades y Riesgos en el desarrollo de software.

  • Inapropiada validación de datos.
  • Medidas de seguridad no implementadas o deshabilitadas.
  • Métodos de autenticación, control de acceso y privilegios implementados de forma incorrecta o inapropiada.

2.5.- Vulnerabilidades y Riesgos de comunicaciones y red

  • Autorización innecesaria de comunicaciones entre sistemas de control.
  • Firewalls mal configurados o inexistentes.
  • Falta de logs de firewalls o routers que puedan proporcionar información sobre un incidente y sus orígenes.
  • Empleo de servicios de red que transmiten información en texto plano.
  • Implementación de protocolos vulnerables sin métodos de autenticación de extremos, cifrado de comunicaciones o control de integridad de mensajes.
  • Métodos de autenticación y cifrado de información débiles entre dispositivos y Puntos de Acceso en redes inalámbricas.

Con esta última entrega he querido hacer un repaso teórico en lo que a amenazas, vectores de ataque y vulnerabilidades en Sistemas de Control Industrial, SCI (O ICS en la lengua de Shakespeare) se refiere. Entender estos 3 puntos es clave para tomar conciencia del por qué es necesario proteger nuestras instalaciones y sobre qué puntos debemos prestar atención.

A partir de aquí viene la fase de implementar las medidas que corrijan las deficiencias encontradas tras la realización de un Análisis de Riesgos. Este Análisis es el punto de partida. No podemos poner en marcha ningún proyecto de Ciberseguridad Industrial sin antes haber analizado e inventariado nuestros activos. No podemos securizar, sino sabemos qué y cuántos equipos tenemos; con qué vulnerabilidades cuentan; qué tecnologías tenemos implementadas; que arquitectura de red tenemos instalada; y todos esos aspectos en los que nos hemos centrado y de tallado con anterioridad. Como hemos visto se basan principalmente en actuaciones sobre Sistemas y Procesos organizacionales, pero aunque parezca algo básico puede resultar muy complicado.

En fin poco a poco seguiremos avanzando, por ahora ya tenemos por donde empezar.

Un saludo, nos vemos en la próxima!

5 pensamientos en “Vulnerabilidades en Sistemas de Control Industrial, SCI

  1. Pingback: Evaluando riesgos en entornos industriales. | Enredando con redes …

  2. Edorta, tus aportes resultan esenciales para entender y gestionar la temática.
    A este paso se convertirán en imprescindibles; pues plantean una forma sencilla y concreta de enfrentar los retos que nos impone la Industria 4.0 y la Industrial Internet of Things … entre otras.
    Un abrazo desde Argentina.

    • Hola Walter, muchas gracias por tu comentario. Me agrada saber tu punto de vista, sin duda un aliciente para seguir investigando y aportando lo aprendido en el día a día. Una abrazo desde Vitoria.

  3. Como siempre muy acertado, muy conciso y muy educativo.Un placer seguirte .Un saludo Edorta

Deja un comentario