Ciberseguridad en la convergencia IT/OT en Sistemas de Control Industrial

04 Octubre 2021
Informativo

Durante el último decenio la conectividad a internet ha aumentado de forma exponencial y se ha instaurado como parte intrínseca de nuestros quehaceres. La humanidad ha generado hábitos arraigados a la dependencia tecnológica, los cuales, en gran medida, son beneficiosos para la productividad cotidiana, otorgando simplicidad y eficiencia en nuestra rutina.

Las organizaciones más innovadoras adoptaron el cambio de paradigma y gracias a la transformación digital lograron alcanzar un modelo de madurez sustentable para mantener sus operaciones de negocio a la vanguardia, destacando por sobre las demás.

Bajo el mismo contexto, producto del escenario ocasionado por la pandemia, aquellas organizaciones inmaduras y escépticas fueron obligadas a transformarse digitalmente, forzando la implementación de recursos, cultura, procesos y herramientas tecnológicas en tiempos récord. En otras palabras, la transformación digital fue instaurada globalmente como una vía de subsistencia, convirtiéndose en la principal herramienta para continuar y fortalecer las operaciones de negocio las empresas. 

A medida que la pandemia continuó perturbando los sistemas mundiales de salud, económicos, políticos y sociales, hubo otra amenaza poco visible que fue en aumento en el espacio digital: el riesgo de que ataques cibernéticos se aprovecharan de nuestra mayor dependencia por las herramientas digitales y de la incertidumbre provocada por la crisis.

La problemática del incremento de esta dependencia intrínseca de la sociedad radica en dos principales vectores:

  • El vertiginoso aumento de brechas de seguridad en los sistemas tecnológicos y procedimentales de las organizaciones, es decir, un incremento de los espacios que quedan abiertos o vulnerables para que ciberdelincuentes efectúen sus ataques.
  • Este escenario es una situación conocida por los cibercriminales, quienes aún hasta la fecha, han logrado explotar activamente vulnerabilidades de todo tipo.

El escenario actual a nivel global nos entrega ejemplos desalentadores, países afectados por ataques cibernéticos que han causado fallas de infraestructura crítica generalizadas llegando a desconectar a comunidades o ciudades enteras, poniendo obstáculos a los proveedores de atención médica, los sistemas públicos y las redes de suministro. Pese a que esto suena como algo lejano y un tanto ficticio, lo cierto es que es sólo un breve resumen de hechos conocidos, que ocurrieron durante 2020, que continúan en 2021 y continuarán en 2022 si no cambiamos la forma de enfrentar estos riesgos.

La industria digitalizada debe buscar nuevas prácticas de seguridad y defensas contra amenazas que están a la par con las nuevas tecnologías, con una mirada global partiendo desde la seguridad física hasta la ciberseguridad de forma integral, entendiendo que los controles actuales de seguridad implementados son insuficientes. Estamos en una era de nuevos eventos cada vez más sofisticados por parte de ciber actores maliciosos y que con acciones preventivas oportunas es posible impedir potenciales colapsos.

Los Sistemas de Control Industrial (ICS) son utilizados en múltiples sistemas y servicios esenciales y vitales para el funcionamiento de la sociedad. El escenario actual a nivel global nos entrega ejemplos desalentadores, países afectados por ataques cibernéticos que han causado fallas de infraestructura crítica generalizadas llegando a desconectar a comunidades o ciudades enteras, poniendo obstáculos a los proveedores de atención médica, los sistemas públicos y las redes de suministro. Pese a que esto suena como algo lejano y un tanto ficticio, lo cierto es que es sólo un breve resumen de hechos conocidos, que ocurrieron durante 2020, que continúan en 2021 y continuarán en 2022 si no cambiamos la forma de enfrentar estos riesgos.

Las organizaciones industriales dependen, mayoritariamente de las tecnologías operativas (OT) y de sus operaciones tradicionales de TI para operar, gestionar y controlar sus procesos, y es en este escenario en que la transformación digital cambió por completo el paradigma de operación e interconexión entre ambos entornos y la forma en que se deben proteger.

Las organizaciones que han adoptado la convergencia de sus ecosistemas TI y OT, pueden evidenciar beneficios significativos y a su vez quedan expuestos a riesgos de ataques cibernéticos los cuales se aprovecharán de una mayor exposición y brechas de seguridad debido a la dependencia tecnológica.

El proceso de convergencia TI-OT debe contar con diferentes enfoques de ciberseguridad, entendiendo que el entorno TI tiene su orientación hacia la protección de la información y los sistemas, y en el caso del entorno OT se prioriza la seguridad de las personas, la continuidad operacional y la protección de los activos físicos.

Es fundamental reconocer la criticidad de la ciberseguridad en todos los puntos convergentes, con el objetivo de estar preparado para resistir un ciberataque, establecer una colaboración integral entre TI y OT es una necesidad, comprendiendo que TI posee conocimiento en ciberseguridad y OT el manejo de tecnologías y sistemas operacionales.

La separación de grupos de soporte tanto para TI y OT crea duplicidad de tareas, siendo ineficiente en la asignación de recursos y de personal, pudiendo derivar en problemas de coordinación entre ambos grupos, generando un riesgo a la gestión de la ciberseguridad de la organización, ambos equipos deben trabajar de forma conjunta.


 

Para afrontar los problemas de ciberseguridad asociados a la convergencia TI-OT, se recomienda utilizar las siguientes medidas básicas:

  • La ciberseguridad debe incluirse en todos los niveles de la organización.
  • La ciberseguridad de ambos entornos debe ser gestionada por un único responsable, y alineado con las directrices emanadas desde la Dirección.
  • Las tecnologías y las amenazas de ambos entornos deben entenderse claramente. Es posible que las tecnologías de TI no funcionan necesariamente en el entorno de OT,  además, las amenazas pueden ser diferentes.
  • Los controles de seguridad básicos deben implementarse en todas las capas y entornos de la organización.
  • Realizar análisis de riesgo periódicos en ambos entornos para identificar vulnerabilidades y garantizar que se implementen los controles de seguridad adecuados.
  • Considerar normativas de ambos entornos como la NIST 800-5310 para TI y NIST 800-8211 e ISA / IEC 62443-1-2 para ICS y OT.
  • Desarrollar políticas y procedimientos específicos de ICS que sean consistentes con la ciberseguridad de TI, la seguridad física y la continuidad del negocio.

La convergencia de TI y OT es un proceso que ya se ha iniciado, y cuanto antes lo asuman las empresas, orientando los esfuerzos para una integración correcta, mejor estarán posicionadas de cara al futuro.
 

Debido a la convergencia y evolución de las motivaciones de las amenazas, es posible apreciar una tendencia alcista de ataques a los sistemas de control industrial: 2021 ha sido marcado por un aumento notable respecto al año 2020. El 50% de los ataques descubiertos son atribuidos a ciber actores de alta sofisticación que utilizan herramientas avanzadas y persistentes, y que además cuentan con financiamiento del cibercrimen organizado y de estados, su complejidad y recursos superan en gran medida a los ataques no dirigidos más comunes y, por tanto, existe una necesidad creciente de nuevos métodos de protección que incorporen a los proveedores para garantizar que las organizaciones permanezcan seguras.

Durante la última década, hemos sido testigos de los ataques perpetrados por ciber actores con grandes destrezas, quienes tienen financiamiento suficiente como para soportar campañas de largo aliento y con las habilidades necesarias para cumplir sus objetivos.

A continuación, presentamos los hitos más connotados de ciber ataques de los últimos 10 años:




A medida que más empresas conectan dispositivos ICS a Internet y convergen OT y TI, la visibilidad de los activos de la red es crucial, al igual que la información sobre las vulnerabilidades de software y firmware que los atacantes podrían aprovechar. Las fallas en las estaciones de trabajo de ingeniería que se ejecutan en máquinas basadas en Windows, por ejemplo, podrían permitir a un atacante comprometer estos puntos de cruce entre las redes de TI y OT y modificar los procesos, o más probablemente, impedir la entrega de servicios críticos que podrían afectar la seguridad pública o seguridad nacional.


 

Una gran parte de sistemas de control industrial carecen de controles de seguridad básicos, a continuación, se presentan los más comunes:


 

Información obtenida de acuerdo con el Informe Semestral de Riesgos y Vulnerabilidad de ICS del Equipo de Investigación de Claroty (Compañía líder en seguridad de tecnología operativa (OT):

  • Durante el primer semestre de 2021, se publicaron 637 vulnerabilidades de ICS que afectaron a los productos vendidos por 76 proveedores.
  • Durante el segundo semestre del 2020, se revelaron 449 vulnerabilidades que afectaron 59 vendedores.
  • De las 637 vulnerabilidades solo 70 fueron parcheadas o mitigadas en el primer semestre de 2021, correspondiente a 20 proveedores.
  • Siemens fue el proveedor más afectado con 146 vulnerabilidades reportadas.
     

A continuación, se presenta el detalle del componente afectado por la vulnerabilidad:

  • Firmware/Software

En el entorno industrial, es utilizado el Modelo Purdue de ISA-95, el cual separa en 5 niveles los procesos de acuerdo con su función, es una excelente guía para segmentar y dar visibilidad para el aumento de la seguridad, ya que los niveles están bien definidos. Sin embargo, no basta con la separación, además, se debe aplicar correctamente la seguridad a cada nivel y a sus respectivos dispositivos.
 

Considerando que el 23,55% de las vulnerabilidades afectan el nivel de Gestión de Operaciones (Nivel 3) del Modelo Purdue, esto explicaría que muchas de las vulnerabilidades afectan a los componentes de software.

Las vulnerabilidades detectadas que afectan al control básico (Nivel 1) y Control de Supervisión (Nivel 2) del Modelo Purdue, son un objetivo atractivo para un ciber actor malicioso ya que puede llegar a niveles inferiores y afectar el proceso en sí.

De las 637 vulnerabilidades de ICS reveladas en el primer semestre de 2021:

  • 25,59% aún no tienen una solución disponible ni una reparación parcial.
  • 13,5% no tienen ni tendrá remediación, afectando a 17 proveedores.
  • 12,1% tienen solo una remediación parcial, afectando a 12 proveedores.

El siguiente cuadro muestra los impactos potenciales más prevalentes de las vulnerabilidades de ICS publicados durante el primer semestre de 2021, lo que refleja la importancia de la ejecución remota de código como el área de enfoque principal dentro de la seguridad de los entornos OT.
 

La cultura a nivel nacional está tendiendo a adoptar la ciberseguridad como parte de los procesos de negocios de las empresas, de hecho, se está empezando a gestar el Proyecto de Ley Marco de Ciberseguridad e Infraestructuras Críticas, sin embargo, muchas de las compañías que responden a esta categoría utilizan sistemas SCADA y deben adelantarse a los requerimientos regulatorios, no solo porque se requerirá eventualmente, sino también porque hoy están expuestas a riesgos de seguridad que pueden ser devastadores a nivel operacional, productivo, de servicios y económico.

Las organizaciones en Chile que utilizan ICS tienen a su disposición un conjunto de normas generadas por la International Society of Automation (ISA), y que desde el año 2010 actualizaron la documentación de la norma IEC62443 (anteriormente ISA99) cuyo principal objetivo es la defensa en profundidad y que además se amplía la seguridad a otros ámbitos, desde los fabricantes hasta los operadores.

  • Moxa Nport
  • 3S-Smart Software Solutions
  • Rockwell Automation/Allen-Bradley
  • BMX P34 2020
  • Tracer SC
  • V350-35-TRA22
  • 171 CBU 98090
  • Lantronix X6t
  • CP1L-EM20DT1-D
  • CP3Nente cuadro

Debido a la convergencia de las redes de IT/OT, a nivel nacional, aún se evidencian algunos activos integrados a redes OT que cuentan con servicios críticos expuestos a Internet que están siendo activamente explotados por las amenazas. Es el caso de accesos RDP a sistemas SCADA, representando brechas de seguridad en los sistemas que podrían ser utilizadas por ciberdelincuentes para realizar actividades que puedan comprometer las operaciones de estas organizaciones.

Para más detalles de las vulnerabilidades presentes en el protocolo RDP, refiérase a nuestro boletín:
"Protocolo de Escritorio Remoto: un potente vector de entrada de amenazas en tu red"

Es necesario disminuir la superficie de ataque expuesta a Internet de los recursos ICS, bajo la premisa de conocer cualquier posible brecha de seguridad que pueda ser explotada por alguna amenaza. Con una mirada tanto en lo tecnológico como en la cultura implantada a los colaboradores/usuarios.

En el ámbito tecnológico nos referimos a prácticas que contribuyen a reducir la visibilidad con la cual un ciberdelincuente podría tener acceso a los recursos tecnológicos. La exposición de puertos abiertos innecesarios o el uso de protocolos no requeridos podrían contener alguna vulnerabilidad que pudiera ser aprovechada por algún ciberdelincuente. En otras palabras y de manera general, contribuye al reconocimiento de su infraestructura tecnológica, la que puede dar pie a que la misma sea usada en campañas que afecten las operaciones de su negocio.

Para proteger los entornos de infraestructura crítica, es vital mantener una visión holística y observar cada parte de la red, tanto las partes de TI (tecnología de la información) como las de OT (tecnología operativa), investigar los sistemas y procesos en cada zona, analizar los vectores de ataque y el riesgo, y proporcionar controles de seguridad recomendados.

Las dos zonas principales son las Zonas Empresarial y de Fabricación, también denominadas redes de TI y OT. En el modelo Purdue, estas dos zonas principales están separadas por la tercera zona, la DMZ industrial, donde la intención es evitar la comunicación directa entre los sistemas de TI y OT. Esto agrega una capa de separación a la arquitectura general de modo que si algo fuera a comprometer un sistema en la DMZ, entonces el compromiso podría estar contenido dentro de la DMZ, asegurando que los procesos de producción continúen funcionando normalmente.

  • Nivel 5: Red empresarial, técnicamente no forma parte de ICS, la zona empresarial se basa en la conectividad con las redes ICS para alimentar los datos que impulsan las decisiones comerciales.
  • Nivel 4: Sistemas de logística empresarial, los sistemas de planificación de recursos empresariales (ERP) gestionan las actividades comerciales de la operación de fabricación. Establece el cronograma básico de producción de la planta, el uso de materiales, el envío y los niveles de inventario.

Vectores de ataque de la Zona TI:

  • Vectores de ataque de TI típicos, como spear phishing a través de correo electrónico y ransomware contra usuarios y terminales.
  • Controles de seguridad recomendados, como esta es la red de TI donde residen los usuarios y aquí es donde se encuentra el punto de salida de Internet, se recomienda:
  • Cortafuegos IPS
  • Antivirus
  • Anti-bot
  • Control de aplicaciones
  • Filtrado de URL
  • Inspección SSL
  • Proteger los servicios Cloud, ya que estos suelen estar conectados a recursos corporativos y, por lo tanto, también son un vector de ataque potencial

  • La zona de interconexión entre los sistemas de TI y OT, esta zona normalmente contiene un host de salto para el acceso remoto seguro a los sistemas ICS.

Vectores de ataque DMZ industrial:

  • Sistemas que están expuestos directamente sin tecnología VPN pueden explotarse fácilmente.
  • Malware que ingresa a la red OT de la organización a través de una conexión de acceso remoto.
  • Ataques de denegación de servicio en la puerta de enlace de acceso remoto

Riesgos DMZ industrial:

  • En algunos casos, los proveedores de equipos OT exigen conectividad IP directa a los equipos OT en la Capa 2 y 1 para soporte, monitoreo y mantenimiento. Esta puede ser una operación peligrosa si no hay controles de seguridad adecuados para inspeccionar adecuadamente este tráfico. Si los estándares de seguridad de un tercero que se conecta directamente al entorno de OT son insatisfactorios, este tipo de arquitectura podría conducir a infecciones en la parte más crítica de la red.

Controles de seguridad recomendados:

  • Para garantizar la máxima disponibilidad de la puerta de enlace de acceso remoto, permitiendo que terceros administren y supervisen de forma remota el equipo OT, es vital proteger la puerta de enlace con una solución anti-DDoS (preferiblemente en las instalaciones y basada en la nube). En este plano, hay un servidor de salto en la DMZ industrial. Las sesiones del servidor de acceso remoto VPN (RAS) finalizan en la puerta de enlace perimetral en el nivel 5. La puerta de enlace finaliza el tráfico de VPN, lo analiza en busca de malware y solo permite el tráfico RDP al host de salto. Luego, el host de salto se utiliza para conectarse a las estaciones de trabajo del operador en el nivel 2 para el trabajo de mantenimiento remoto. Este enfoque es mucho más seguro que permitir conexiones VPN L3 entrantes desde Internet directamente al nivel 2 y reduce drásticamente el riesgo de que la red OT se infecte debido a conexiones RAS inseguras que se originan en terceros. El servidor de salto en sí es
  • Protegido por la puerta de enlace, que solo permitirá RDP entrante y tiene habilitados los controles de seguridad necesarios como IPS, Anti-bot y control de aplicaciones.

  • Nivel 3: Sistemas de operaciones de fabricación, el propósito de los sistemas de nivel 3 es administrar los flujos de trabajo de producción para producir los productos deseados. Esto incluye: gestión de lotes; sistemas de gestión de ejecución / operaciones de fabricación (MES / MOMS); laboratorios, estaciones de ingeniería, mantenimiento y sistemas de gestión del rendimiento de las plantas; historiadores de datos y middleware relacionado.

Vectores de ataque fabricación OT:

  • Ransomware en Endpoints, máquinas de las que se abusa para la minería de criptomonedas, infecciones de bots, phishing a través del correo electrónico.
  • Las infecciones por bots de la estación de trabajo del operador podrían provocar un sabotaje del proceso industrial.
  • Puertos USB no seguros.

Riesgos fabricación OT:

  • Modificaciones no deseadas al proceso industrial
  • Sabotaje
  • Espionaje industrial
  • Sistemas de monitoreo sin parches
  • Falta de visibilidad sobre qué tipo de equipo está instalado y si está ejecutando firmware vulnerable
  • Controles de seguridad recomendados:
  • Detección y visibilidad de anomalías y activos
  • Anti-bot
  • IPS (normalmente utilizado como parche virtual para proteger las estaciones de monitoreo de los operadores)
  • Tecnologías de espacio aislado para prevenir ataques de día cero (Check Point SandBlast)
  • Una política de seguridad de control de aplicaciones que solo permite que el operador envíe comandos específicos autorizados a la estación de trabajo a PLC. El uso de Identity Awareness puede agregar una capa adicional de seguridad a la política al permitir que solo los usuarios autenticados, es decir, los operadores, envíen comandos específicos a los dispositivos en el Nivel 2.
  • Cifrado del tráfico de control entre operadores en L3 y PLC en L2 utilizando IPsec para evitar escuchas y tráfico repetición de ataques.
  • Protección de punto final, incluida la protección de puertos.
  • Nivel 2: Sistemas de control, los sistemas de nivel 2 supervisan, monitorean y controlan los procesos físicos. Esto incluye controles y software en tiempo real; Sistema de control distribuido (DCS), interfaz hombre-máquina (HMI); software de supervisión y adquisición de datos (SCADA).
  • Nivel 1: dispositivos inteligentes Los sistemas de nivel 1 detectan y manipulan los procesos físicos. Esto incluye sensores de proceso, analizadores, actuadores e instrumentación relacionada, como PLC, RTU o IED.

Vectores de ataque (Nivel 1 y 2):

  • Explotación de denegación de servicio en HMI, RTU, IED o PLC
  • Explotación de vulnerabilidades conocidas de HMI, RTU, IED o PLC
  • El uso de protocolos no cifrados deja a este segmento vulnerable al rastreo, lo que permite a los piratas informáticos descubrir las contraseñas. y utilizar ataques de reproducción de tráfico con datos de carga útil modificados
  • Algunos dispositivos inteligentes tienen contraseñas codificadas, y algunos administradores ni siquiera se molestan en cambiar las contraseñas de dispositivos inteligentes, incluso si es posible. Los sistemas de parcheo en esta capa a menudo no se realizan ya que el enfoque principal es el tiempo de actividad, en lugar de la seguridad, lo que deja vulnerables tanto a la aplicación como al sistema operativo.
  • Las máquinas vulnerables en el nivel 1 suelen ser objetivos para que los piratas informáticos las utilicen como cripto mineros o ransomware. Malware capaz de enviar comandos maliciosos a un PLC que pone en peligro el proceso industrial.

Riesgos (Nivel 1 y 2):

  • Modificaciones no deseadas al proceso industrial
  • Sabotaje
  • Espionaje industrial
  • Controles de seguridad recomendados:
  • Utilice pasarelas que ejecutan IPS para proteger los sistemas vulnerables como un parche virtual en lugar de parchear los sistemas reales, lo que provoca tiempo de inactividad.
  • La comunicación entre el nivel 2 y 3 se puede cifrar mediante IPsec para proteger los ataques de rastreo y reproducción.
  • Se puede conectar una puerta de enlace de seguridad a un puerto espejo (SPAN) en un interruptor en este nivel, que funciona como un sensor.
  • Si se quiere considerar las puertas de enlace de seguridad en línea en el nivel 1 podrían separar las estaciones de trabajo del operador local y las HMI de los PLC y RTU, asegurando que no se les puedan enviar comandos no autorizados. Cuando se utiliza una puerta de enlace conectada a un puerto espejo, esto también se puede detectar, pero no evitar.
  • La seguridad de los endpoints se puede considerar en máquinas con sistemas operativos compatibles.
  • Seguridad L2 adecuada en conmutadores
  • Considere el uso de una red fuera de banda utilizada únicamente para la gestión del tráfico, las actualizaciones de firmas y las actualizaciones de firmware de los equipos en este nivel. Solo los protocolos SCADA deben verse en el Nivel 1.
  • No permita que los técnicos remotos se conecten directamente a la red de nivel 1, prefiera el uso de un host de salto en la DMZ en el nivel 3.5: Cuando los activos no administrados se conectan a esta red, la postura de seguridad es desconocida y, por lo tanto, no se puede confiar.

  • Los sistemas de nivel 0 definen los procesos físicos reales.

Vectores de ataque Nivel 0:

  • Siempre que los dispositivos de campo en el nivel 0 estén conectados directamente a los PLC o RTU en el nivel 1 mediante enlaces analógicos, la probabilidad de que se produzca una infracción cibernética aquí es bastante baja. En caso de que algo salga mal, lo más probable es que se deba a una brecha de seguridad física. En caso de que los dispositivos de campo estén conectados al nivel 1 mediante IP y haya interruptores involucrados, se recomiendan controles de seguridad entre los 2 niveles. El propósito aquí sería tener un par de ojos adicional. Por ejemplo: si un PLC recibe una instrucción del nivel 3 y la envía a un dispositivo de campo en el nivel 0, debe haber coherencia.

Riesgo Nivel 0:

  •  Interrupción o modificación del proceso físico.

Controles de seguridad recomendados Nivel 0:

  • Se recomienda utilizar conexiones punto a punto entre los dispositivos inteligentes en el nivel 1 y los dispositivos de campo en el nivel 0. En caso de que la comunicación entre el nivel 1 y el nivel 0 se realice a través de IP, prefiera las conexiones punto a punto. Si los enlaces punto a punto no son posibles y los conmutadores Ethernet se utilizan en el nivel 0, asegúrese de que se aplique la seguridad L2 adecuada: administración inactiva de todos los puertos del conmutador no utilizados, autenticación MAC en los puertos del conmutador usados, considere el uso de pasarelas de seguridad adicionales entre Nivel 1 y Nivel 0. El uso de una política de referencia confiable con control de aplicaciones puede advertir a un administrador si se envía un comando desconocido a un dispositivo de campo.

 


Tags: #SCADA #ICS #IT #OT #Convergencia #RDP #Chile #Mes ciberseguridad #ciberseguridad #octubre


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.