Para que una acción malintencionada tenga éxito y pueda afectar a los Sistemas de Control, Maquinaria o infraestructuras industriales de una organización, deberá explotar alguna vulnerabilidad que esté presente dentro de ésta.
Generalmente tendemos a fijarnos en aquéllas de carácter técnico, sin embargo existen otras muchas que pueden afectar a aspectos como:
- Incumplimiento de políticas de seguridad.
- Procedimientos de acceso componentes y sistemas.
- Configuraciones.
- Diseño del propio equipamiento.
- Accesos físicos a equipos en planta, taller o entornos OT en general.
- Comunicaciones y demás puntos de interconexión entre redes de distintos ámbito.
Lo cierto es que la gestión de vulnerabilidades, puede ser compleja dependiendo del tipo y tamaño de la organización, y sobre todo, la mitigación de las mismas una vez que éstas han sido anunciadas y que desencadenan todos los procesos, tanto técnicos como organizativos y también procedimentales.
Como todos sabemos la principal medida es la aplicación de parches y actualizaciones, pero lo cierto es que esto en la teoría está muy bien, pero en la práctica se opta más por la aplicación de medidas compensatorias antes que actuar sobre los equipos finales.
En cualquiera de los casos para ser conscientes que nuestra organización puede estar en riesgo cuando se anuncia una vulnerabilidad que afecta a los equipos finales, sean hardware o software, debemos contar con fuentes de información en donde podamos encontrar información relativa a todas ellas para luego ver si realmente nos aplica o no. Esto es si esa vulnerabilidad que afecta a un equipo o solución de un determinado fabricante no aplica porque lo tenemos en nuestra organización o no.
Uno de los repositorios puede ser la iniciativa “ICS Advisory Project” creada por Dan Ricci. En él podemos encontrar un muy buen resumen en función de diferentes criterios como son:
- Gravedad de la vulnerabilidad.
- Fabricante
- Producto.
- Ubicación geográfica.
- …..
Otro es el apartado de “Advisories” del ICS-CERT . Allí las encontraremos por orden de publicación aunque las podremos ordenar también por fabricante.
En el caso de España, INCIBE-CERT dispone de un apartado de “Avisos” similar al del ICS-CERT y que podemos encontrar aquí. Si lo deseamos podemos suscribirnos y recibirlas directamente en nuestro correo electrónico.
Por supuesto los distintos fabricantes realizan anuncios cuando alguna se aha descubierto y proporcionan recomendaciones sobre cómo remediarlas, si es que se puede… Aquí os dejo algunos enlaces hacia las páginas Web de cada uno de ellos donde encontraréis notificaciones:
Otro sitio donde encontrar información CVE Details donde podremos buscar por el fabricante, identificador de vulnerabilidad, entre otros parámetros. Aquí podrás encontrar las de fabricante OMRON.
Un saludo nos vemos en la siguiente!