Los cortafuegos representan la primera línea de defensa para proteger los entornos industriales. Separar y segmentar las redes, tanto si nos referimos a los entornos IT-OT como exclusivamente a OT es considerada como la primera labor a realizar. Con ello conseguiremos controlar, entre otros aspectos, accesos, conexiones, aplicaciones, usuarios… reduciendo así el grado de exposición de nuestros dispositivos y la respectiva superficie de ataque.

Sin embargo, desplegar este tipo de soluciones lleva aparejado un conjunto de acciones como identificar el tráfico existente para luego configurar todas las reglas de filtrado. La realidad me demuestra que muchas organizaciones no tienen conocimiento de las comunicaciones que se producen dentro de sus redes y aún menos documentadas. Nos enfrentamos en muchos casos a redes conmutadas o enrutadas donde todo comunica de forma directa y en las que no se ha contemplado, no sólo la seguridad, sino también un diseño jerárquico, escalable y tolerante a fallos. Me refiero, a que no existe una clara definición de perímetros, lo cual da lugar a arquitecturas con propósitos distintos bajo un mismo dominio de broadcast, alcance directo a los entornos OT desde oficinas, un único plan de direccionamiento, y así un largo etcétera.

Por tanto, de igual modo que hemos de identificar nuestros activos que antes de llevar a cabo cualquier acción, aquí deberemos hacer lo mismo con las comunicaciones. Necesitaremos, al menos, información de las direcciones de IP tanto de origen como de destino y los puertos, en particular el de destino. No podremos avanzar hasta llevar a cabo esta labor y, por supuesto, generar la documentación asociada. Además, hemos de tener presente que muchas de esas comunicaciones no serán necesarias, por lo que no tendrán que ser configuradas. Finalmente, y habiendo cerrado este proceso o, en paralelo con otros, habrán de ser validadas por responsables de planta, IT o similares.

Sin embargo, este análisis no puede quedar ahí. En redes industriales aparte de saber quién se comunica con quién y en qué puerto, hemos de saber el protocolo utilizado y qué valor, comando o instrucción “va dentro” de ese tráfico. Es decir, importa no sólo el tipo de equipo que inicia la comunicación y la mantiene, sino además cómo y qué se “dicen” entre sí.

Entre otros muchos motivos, lo que puede provocar un incidente o una pérdida del servicio, va a ser la escritura de una variable, el borrado de un fichero, cambio de estado de la CPU, acceso con credenciales por defecto desde dispositivos, etc.

Esto nos lleva a otra conclusión… y es que para saber lo que envía y recibe, hemos de conocer el protocolo, cosa que no siempre sucede. Se sabe que un HMI se comunica con un PLC; se responde ante ciertas peticiones; una aplicación se comunica con componentes de campo, pero pocas veces se baja hasta ese nivel.

Hemos de tener en cuenta que la mayoría de los protocolos de comunicaciones no incorporan medidas de seguridad nativas con lo que, sumado a ciertas funcionalidades y vulnerabilidades de equipos podremos, de forma intencionada generar o reproducir tráfico que permita leer o escribir valores, alterando así el normal funcionamiento.

Sumado a lo anterior, no podemos olvidar que la naturaleza de estos entornos es muy particular. Adicionalmente, pueden darse con frecuencia otra serie de circunstancias que aumenten el riesgo que se produzca un incidente, bien de forma intencionada o no intencionada. Por ejemplo:

1. La viabilidad de aplicar una actualización o parche para corregir una vulnerabilidad puede llegar a ser muy difícil o inviable, por razones de disponibilidad, número de equipos, ubicación, riesgos asociados, y sobre todo impacto sobre el sistema.
2. Inexistencia de software antivirus o protección de endpoint para análisis de dispositivos USB.
3. Conexionado a la red de equipos de Proveedores o terceras partes para labores de mantenimiento o soporte.
4. Incorporación de nuevos dispositivos con funcionalidades embebidas en los que no se ha contemplado la seguridad.
5. Definición de usuarios con permisos de administrador y de uso compartido por equipos técnicos.

Las circunstancias descritas con anterioridad, favorecen el éxito de que una negligencia, exceso de confianza, infección, uso incorrecto de credenciales, explotación de una vulnerabilidad, software no necesario para la operación de las instalaciones, etc; tenga éxito y afectar a su disponibilidad y por tanto a la actividad de negocio.

Así pues, en estos análisis previos no podemos quedarnos exclusivamente en identificar IPs de origen y destino y puertos. Hemos de ir más allá y realizar un análisis más pormenorizado. Es necesario, aplicar otros controles que nos permitan detectar aplicaciones; analizar patrones para la identificación de intrusiones; presencia de malware; tráfico Web para accesos a interfaces de gestión; etc. para conocer el estado actual y si ya hay, o no, alguna anomalía en el entorno donde estamos.

En este sentido una de las opciones/recurso son las herramientas de monitorización como la que hablaba en la entrada “Monitorización Redes Industriales, SCADAGuardian” pero, claro está, no siempre podremos hacerlo.

Por tanto, se nos plantea la cuestión sobre cómo podremos hacer dicho análisis en esa fase previa al despliegue de cortafuegos. Sin olvidarnos, claro está, las características tanto de los sistemas como de las comunicaciones industriales en particular en lo que a latencias y variación del “Jitter” se refiere. Muy especialmente aquellas a nivel de célula de automatización.

En próximas entradas veremos la manera en la que podremos utilizar los estos dispositivos ya adquiridos para llevar a cabo esta labor. Es decir, realizar ese análisis más pormenorizado al que hacíamos referencia y a partir de ahí conocer lo qué sucede en nuestras infraestructuras de comunicaciones.

Gracias a ello, podremos avanzar de una manera más eficiente, completa y contextualizada la protección de nuestras organizaciones, empresas o clientes.

¡Nos vemos en la próxima!