La velocidad con la que avanza la tecnología va en paralelo a la aparición de nuevas vulnerabilidades y amenazas que pueden comprometer significativamente a la infraestructura de las compañías. Los sistemas industriales y de operación no son ajenos a estas amenazas, por lo que es necesario implementar programas de seguridad que busquen mitigar los riesgos de ciberseguridad en sistemas OT. En el presente artículo se muestra de forma general las características propias de los sistemas industriales y algunas recomendaciones de seguridad y monitoreo para las mismas.
Las tecnologías de operación (OT) enmarcan sistemas de control industrial (ICT por sus siglas en inglés) como redes SCADA compuestas de DCS (sistemas de control distribuido), RTU (Remote Terminal Units) y PLCs (Programmable Logic Controller) para garantizar interconectividad, control y monitoreo de dispositivos industriales como válvulas, motores, actuadores, entre otros, los cuales son ampliamente usados en industrias como petróleo/gas, generación y transporte eléctrico, tratamiento de aguas, manipulación química, etc.
Debido a que las tecnologías de operación involucran procesos físicos, cualquier impacto sobre el funcionamiento y operación, puede afectar negativamente al ambiente a su alrededor incluyendo la liberación de materiales peligrosos, generación de explosiones, daños ambientales permanentes que potencialmente pueden causar perjuicios a la integridad de las personas que estén cercanos al proceso. Por estos motivos, es necesario invertir en la protección de OT mediante un esquema de seguridad que disminuya la probabilidad de la materialización de riesgos relacionados a ciberseguridad y evitar tener impactos físicos, económicos y sociales.
Los sistemas OT demandan Disponibilidad, Integridad y Confidencialidad (en este orden de prioridades) como premisas para la seguridad, y al igual que las redes IT es necesario crear programas de manejo de riesgos, respuesta ante emergencias y constante monitoreo de la postura de seguridad.
El proceso de manejo del riesgo debe realizarse usando el enfoque three-tiered como se presenta en la Figura 1, (i) nivel organizacional, (ii) nivel de procesos de negocio o misionales y (iii) nivel de sistemas (IT y OT). Estos deben proveer la habilidad para identificar, evaluar, responder y monitorear riesgos relacionados a la ciberseguridad y proveer a las organizaciones herramientas para la toma de decisiones basado en los riesgos. Como ejemplos de estos procesos de manejo de riesgo para OT se encuentran la publicación especial de la NIST 800-82 (Guide to Industrial Control Systems (ICS) Security), NIST (SP) 800-39 y la guía para el manejo de los riesgos en el sector Electrico (Electricity Sector Cybersecurity Risk Management Process (RMP) Guideline)
El ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) en conjunto con diferentes equipos CERT (Computer Emergency Response Teams) ofrecen recomendaciones para controlar incidentes relacionados a sistemas OT así como medidas de mitigación de amenazas. Es importante que las compañías que poseen sistemas OT constantemente estén actualizadas con el conocimiento de los orígenes e impactos de nuevas amenazas, vulnerabilidades y aplicar los consejos emitidos por estas entidades,
Implementar controles de seguridad en sistemas OT es una labor ardua debido a sus características intrínsecas de arquitectura distribuida de los sistemas ICS. En la Figura 2 se presenta un ejemplo de una topología en la cual se evidencia que se pueden tener diferentes equipos y tecnologías en los sitios remotos, formas diversas de comunicación WAN o inter-sitios y un centro de control comúnmente aislado geográficamente de los procesos.
La definición de arquitecturas de seguridad en ICS debe realizarse teniendo en cuenta:
- Segmentación y segregación de la red: Debido a la naturaleza de trafico de redes OT e IT, es recomendado separarlas y que tengan el mínimo contacto para garantizar homogeneidad y gobierno sobre las mismas. Si se requiere que la conectividad IT/OT se establezca, es recomendable que esta sea mínima realizando filtros e inspecciones por Firewalls permitiendo únicamente puertos para las comunicaciones especificas bajo la premisa de menores privilegios de acceso.
- Protección de perímetros: La transferencia de información entre dominios de seguridad con diferentes políticas representa un riesgo ya que estas transferencias pueden violar uno o varios dominios. Es necesario implementar controles de protección en los perímetros mediante Firewalls, Gateways, HIPSs y NIPS, túneles, entre otros teniendo las siguientes premisas:-
- Por defecto denegar todo el tráfico y permitir como excepción
- Implementar equipos intermediarios tipo proxy para tráfico a dominios externos.
- Implementar tecnologías de inspección profunda de tráfico.
- Aplicar controles de acceso físico a componentes de los sistemas OT.
- Implementar monitoreo pasivo de las redes ICS para detector comunicaciones anómalas y generar alertas.
- Defensa en profundidad: Es altamente recomendable implementar estrategias de seguridad por capas similar a las arquitecturas para redes IT teniendo en cuentas las siguientes características en OT:
- Los antivirus y software de seguridad en equipos finales no son comunes y es imposible en muchos casos implementarlos.
- Las operaciones de instalación de parches no son frecuentes.
- El manejo de cambios es bastante complejo y difícil de lograr por las áreas de operacion.
- Se exige disponibilidad 24x7x365.
- Se tiene poca conciencia de seguridad; comúnmente se ven programas de seguridad física pero no lógica.
- El impacto de alguna afectación de un servicio es critica y puede llevar a consecuencias legales, físicas o sociales.
- La auditoria o pruebas de posturas de seguridad no son frecuentes.
Algunas herramientas de control y seguridad implementadas en redes IT funcionan adecuadamente en OT, sin embargo, existen compañías especializadas para estos sistemas que ofrecen el monitoreo y control adecuado en dispositivos industriales como Sentryo (recientemente adquirida por Cisco), Claroty, Veracity industrial networks, Dragos, entre otras. Estas empresas tienen convenios con las grandes marcas y fabricantes de dispositivos OT como Emerson, Honeywell, Rockwell Automation, Schneider, Siemens, etc. para garantizar interoperabilidad de las plataformas, dispositivos y herramientas de seguridad.
En conclusion, la implementación de programas de Seguridad en redes y sistemas OT es importante, debido a las características propias de la industria y el constante aumento de ataques y amenazas en contra de estos sistemas; Stuxnet fue un punto de inflexion en la industria debido a que marcó hitos históricos en cuanto a desarrollo de malware especializado en equipos industriales, por esto es mandatorio que las políticas de seguridad corporativas, implementación de monitores especializados, análisis y manejo de riesgos cibernéticos sean constantemente actualizados y analizados por equipos especializados al interior de las compañías.
References
- Cybersecurity Risk Management Process (RPM) Guideline. https://www.energy.gov/ceser/downloads/cybersecurity-risk-management-process-rmp-guideline-final-may-2012
- Guide to Industrial Control Systems (ICS) Security. https://www.nist.gov/publications/guide-industrial-control-systems-ics-security
- Hotspot Analysis: Stuxnet. https://www.researchgate.net/publication/323199431_Stuxnet
- Security issues in SCADA networks. https://www.sciencedirect.com/science/article/pii/S0167404806000514
- The State of Industrial Cybersecurity. https://info.claroty.com/the_state_of_industrial_cybersecurity_form