La ciberseguridad en entornos industriales ¿estamos preparados? La defensa que toca…
Como ya comentamos en nuestro anterior post, las redes OT (Operation Technology) de las empresas no están exentas de sufrir ataques informáticos. Hasta hoy son múltiples los ataques sufridos por empresas industriales desde que se produjera en 2010 el primer ciberataque que tuviera repercusión directa en el mundo físico1, incidentes de seguridad que afectan a un amplio abanico de entidades que abarca desde grandes tecnológicas hasta proveedoras de productos finales2. Todas las infraestructuras industriales, y no solo las infraestructuras críticas, están en el punto de mira de los ciberdelincuentes o crackers, en los que el sector OT es en cierta forma «negligente», ya que casi el 90%de las vulnerabilidades y vectores de ataques presentes en un sistema industrial son identificables y explotables utilizando estrategias ampliamente conocidas por los atacantes, siendo el 71% de riesgo alto o crítico al poder paralizar parcial o totalmente la actividad de la empresa3.
Ante el panorama esbozado cabe hacerse una serie de preguntas ¿existen herramientas apropiadas y adaptadas a estos entornos OT? ¿pueden los expertos en ciberseguridad proteger el ámbito OT de la industria? La detección de las vulnerabilidades que afectan a los recursos asociados a las redes OT, elementos clave en la automatización de las plantas industriales, se presenta como una etapa de obligada presencia en cualquier test de penetración. Una vez que las vulnerabilidades han sido identificadas será posible tomar las medidas preventivas necesarias, adaptando las soluciones ya existentes y las buenas prácticas bien conocidas del entorno IT al mundo OT, y no realizando un traslado directo de las mismas.
Algunos intentos de adaptación a nivel de estándares son la IEC 62443, basada en el estándar ISA 99 y que establece el marco de referencia internacional de ciberseguridad en sistemas industriales, o la ISO/IEC 27019:2013, que proporciona principios rectores para la gestión de seguridad de la información aplicada a sistemas de control de procesos. En cuanto a herramientas concretas encontramos, entre otras, la plataforma ControlThings que es una distribución Linux específica para encontrar vulnerabilidades en sistemas de control industrial, sin olvidarnos de herramientas como las de inventariado de activos, diseñadas para poder ser aplicadas en entornos OT4 y entre las que se pueden citar IND de Cisco, eyesight de ForeScout (éstas últimas de pago) o GRASSMARLIN que, siendo open source, mapea de forma masiva la red y muestra visualmente la topología de los SCI/SCADA presentes en ésta. Aspectos susceptibles de ser atacados en un entorno OT de manera específica se pueden encontrar en bases de datos como la de MITTRE-ATT&CK.
Sin embargo, estos intentos de estandarización no son suficientes y se hace imprescindible seguir avanzando en distintos frentes apoyando iniciativas como las siguientes;
- Permitir que los expertos del entorno OT tomen la iniciativa y aprendan a protegerse. Formarles en la forma correcta de configurar los dispositivos propios de estas redes, haciendo dicha configuración más simple para no expertos en IT y evitando así la posibilidad de realizar configuraciones erróneas por desconocimiento (simplificar la seguridad).
- Mejorar la adaptación de las soluciones SIEM (Security Information and Event Management) a las redes OT, para que sean menos intrusivas que las actuales y aprendan a identificar patrones propios de las redes industriales, permitiendo una identificación temprana de situaciones anómalas .
- Poner en prácticas nuevas formas de ciber proteger los sistemas industriales, no centradas en la actualización continua del software y/o la realización periódica de inversiones6.
Hasta no hace mucho, los sistemas OT han vivido desconectados del mundo exterior y por ello, con una falsa sensación de seguridad. Sin embargo la protección de estos entornos OT debe ser priorizada, así como la creación de nuevos perfiles profesionales en ciberseguridad capaces de entender las necesidades y particularidades de los entornos OT.
Autores del Post
Daniel Gómez (dangom@cartif.es)
Javier Román (javrom@cartif.es)
Marta Galende (margal@cartif.es)
1 https://www.businessinsider.es/10-anos-stuxnet-primer-ciberataque-mundo-fisico-657755
2 https://www.incibe-cert.es/alerta-temprana/bitacora-ciberseguridad
3 https://security.claroty.com/1H-vulnerability-report-2021
5 https://www.incibe-cert.es/blog/diseno-y-configuracion-ips-ids-y-siem-sistemas-control-industrial