Ciberseguridad de los entornos de ICS primer semestre 2020

01 Septiembre 2020
Informativo

Hasta hace unos años, los Sistemas de Control y Automatización Industrial o IACS (Industrial Automation and Control Systems) estaban en gran medida aislados de los sistemas corporativos, lo cual facilitaba su seguridad frente a ciberataques. Sin embargo, la generalización del uso de Internet y las comunicaciones inalámbricas ha cambiado este panorama. Durante los últimos años se han detectado múltiples evidencias de ciberataques que explotan las vulnerabilidades de los protocolos utilizados en los IACS. Desafortunadamente, durante los últimos 5 años, estos ataques han ido aumentando de manera significativa a sabiendas de que sólo termina conociéndose la punta del iceberg.

Ciberseguridad industrial

El Internet industrial de las cosas está impulsando un aumento de la conectividad que ayuda a las compañías a mejorar su rendimiento global, pero también conlleva riesgos potenciales para la empresa. Debido al riesgo potencial de sufrir importantes pérdidas, al aplicar la ciberseguridad a los sistemas de control industrial es preciso adoptar un enfoque integral y proactivo que gestione estos riesgos y proteja tanto las operaciones como la propiedad intelectual. A medida que los ataques se vuelven más sofisticados y penetrantes, la seguridad física deja de ser suficiente; las empresas también deben aplicar medidas de ciberseguridad industrial.

¿QUÉ SON LOS ICS (INDUSTRIAL CONTROL SYSTEMS)? 

Definidos en algunos casos como “redes de tele-mando y tele-control de procesos compuestos por autómatas industriales (los“PLCs”) interconectados entre sí y cada uno de ellos a sensores (caudalímetros, sensores de nivel, de temperatura, etc.) y/o a actuadores (motores,válvulas, etc.)”. En otras palabras, se trata de conjuntos de controladores que obtienen datos de sensores remotos que miden las diferentes variables que intervienen en un proceso de fabricación o transformación industrial, las comparan con puntos de ajuste deseados y, en función de ello, emanan comandos que se emplean para monitorear y controlar el proceso.

Ejemplo de esto son los sensores remotos conectados al motor de una máquina que monitorean continuamente su funcionamiento y, al advertir una falla como un sobrecalentamiento, le indica a esta apagarse antes de que se funda.

De ahí su importancia en industrias duras como la minería y en aquellas organizaciones que utilizan automatizaciones, RPAs, robótica y PLC (Programmable Logic Controller) Ellos garantizan la continuidad de las operaciones, optimizando la productividad e impidiendo interrupciones en la producción que pueden derivar en pérdidas millonarias e incluso en accidentes.

¿CÓMO SE RELACIONAN CON LAS SOLUCIONES EN SEGURIDAD INFORMÁTICA EN OT?

La tecnología operativa (OT) hace referencia al hardware y software que monitorea y controla el rendimiento de los dispositivos físicos. Se usa en sistemas de control industrial para fabricación, transporte y servicios públicos, y, al contrario de la tecnología de la información (TI), hasta hace algunos años no estaba en la red. Las herramientas de monitoreo eran mecánicas y las que poseían controles digitales empleaban protocolos cerrados y patentados.

Hoy, gracias al Internet de las Cosas los dispositivos físicos son más inteligentes y permiten la convergencia entre la tecnología TI y OT. Esto, como se señaló, abre la puerta para que los hackers aprovechen vulnerabilidades en la red y ataquen los ICS y dispositivos físicos de las empresas.

Historia

Uno de los ataques ICS más famosos sucedió en 1982 cuando la CIA usó malware para infectar el software SCADA, que la Unión Soviética usaba para controlar un oleoducto siberiano, y obligarlo a cerrar las válvulas de seguridad hasta conseguir que la presión dañara las soldaduras y la tubería explotara. Luego, ha habido infinidad de infracciones de este tipo y durante el primer semestre de 2018 más del 40% de los ordenadores ICS a nivel global fueron atacados al menos una vez.

Los ataques a ICS son una amenaza extremadamente peligrosa, porque además de generar tiempos de inactividad de la producción, pueden causar daños materiales y afectar potencialmente la integridad física de las personas y el medio ambiente. De ahí la importancia de implementar controles de seguridad informática.

En los últimos años ha habido numerosos ejemplos de ciberataques que han afectado a alguna infraestructura crítica de la sociedad. WannaCry afecto al servicio nacional de salud del Reino unido, los ciberataques contra el sistema de energía ucraniano, el ataque al proveedor de DNS Dyn o el ataque a Saudi Aramco. A finales de 2016, la firma Kaspeski lab afirmó que el 24% se los ICS estaban bajo ataque.

La ciberseguridad industrial es diferente 

Puede haber cierta superposición en las amenazas, pero hay importantes diferencias entre los requisitos de ciberseguridad de los entornos de ICS y los de carácter empresarial general. Los entornos corporativos se centran en la protección de datos confidenciales; pero cuando se trata de sistemas industriales, donde cada minuto de inactividad o error cuenta, el funcionamiento ininterrumpido de las operaciones es la principal prioridad. Esto es lo que distingue a la ciberseguridad industrial de otros negocios, y lo que hace que sea tan importante trabajar con el proveedor de seguridad correcto.

 

Las prioridades de la ciberseguridad industrial de disponibilidad, integridad y confidencialidad son a menudo opuestas a las de las empresas estándar.

En un plano superior, todas las infraestructuras de sistemas industriales pueden descomponerse en dos dominios:

  • Tecnología de la información (IT): sistemas necesarios para gestionar datos en el contexto de los objetivos empresariales
  • Tecnología operativa (OT): sistemas necesarios para gestionar procesos físicos e industriales de automatización industrial.

 Las estrategias de seguridad de IT suelen centrarse en la protección de datos y seguir los objetivos del modelo de "C-I-D": confidencialidad, integridad y disponibilidad (CID) de los datos. Sin embargo, para la mayoría de sistemas de OT, la ciberseguridad no se basa en los "datos", sino en la continuidad de los procesos tecnológicos. De este modo, y según el modelo de C-I-D, la "disponibilidad" es el objetivo principal de las estrategias de seguridad aplicadas a OT. 

Esto es lo que distingue las necesidades de la ciberseguridad industrial de los demás sistemas, lo que significa que incluso la solución de ciberseguridad clásica de IT más efectiva resulta inapropiada para su uso en sistemas de OT, poniendo así en riesgo la disponibilidad de los procesos (y en algunos casos la integridad).

Comparativa pirámides C I D:

 

Informe Semestral de Riesgos y Vulnerabilidad de ICS 

Información obtenida de acuerdo con el Informe Semestral de Riesgos y Vulnerabilidad de ICS del Equipo de Investigación de Claroty. (Compañía líder en seguridad de tecnología operativa (OT) )

Las vulnerabilidades del sistema de control industrial (ICS) están aumentando, ya que la dependencia del acceso remoto a las redes industriales ha aumentado debido a los bloqueos de las ciudades.

Para crear el informe, los investigadores evaluaron 365 vulnerabilidades de ICS publicadas por la Base de Datos Nacional de Vulnerabilidad (NVD) y 139 avisos de ICS emitidos por el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS-CERT) durante el primer semestre de 2020, que afectaron a 53 proveedores.

  • En comparación con el primer semestre de 2019, las vulnerabilidades de ICS publicadas por NVD aumentaron un 10,3% desde 331, mientras que las advertencias ICS-CERT aumentaron un 32,4% desde 105.
  • A más del 75% de las vulnerabilidades se les asignó puntajes altos o críticos del Common Vulnerability Scoring System (CVSS).
  • Más del 70% de las vulnerabilidades del sistema de control industrial (ICS) reveladas en la primera mitad (1S) de 2020 se pueden explotar de forma remota, lo que destaca la importancia de proteger los dispositivos ICS conectados a Internet y las conexiones de acceso remoto. Esto refuerza el hecho de que las redes ICS completamente aisladas de las amenazas cibernéticas se han vuelto muy poco comunes, afirma Claroty.
  • El impacto potencial más común fue la ejecución remota de código (RCE), posible con el 49% de las vulnerabilidades, lo que refleja su prominencia como el área de enfoque líder dentro de la comunidad de investigación de seguridad OT, seguido de la capacidad de leer datos de aplicaciones (41%). , causan denegación de servicio (DoS) (39%) y mecanismos de protección de derivación (37%). La prominencia de la explotación remota se ha visto exacerbada por el rápido cambio global hacia una fuerza laboral remota y la mayor dependencia del acceso remoto a las redes ICS en respuesta a la pandemia de COVID-19.
  • El informe también encontró las últimas vulnerabilidades de ICS más frecuentes en los sectores de energía, manufactura crítica, agua y aguas residuales de infraestructura crítica. De las 385 vulnerabilidades y exposiciones comunes (CVE) incluidas en los avisos, la energía tenía 236, la fabricación crítica tenía 197, el agua y las aguas residuales 171. En comparación con el primer semestre de 2019, el agua y las aguas residuales experimentaron el mayor aumento de CVE (122,1%), mientras que la fabricación crítica aumentó en un 87,3% y la energía en un 58,9%.

Primer semestre de 2020

Un desglose completo de los tipos de productos ICS afectados por las 26 vulnerabilidades descubiertas por el equipo de investigación de Claroty durante el primer semestre de 2020, priorizando vulnerabilidades críticas o de alto riesgo que podrían afectar la disponibilidad, confiabilidad y seguridad de las operaciones industriales es el siguiente:

 

Más del 60% de las vulnerabilidades habilitan alguna forma de ejecución de código remoto (RCE).

 

La abrumadora mayoría (81,8%) de los avisos de ICS-CERT emitidos durante el primer semestre de 2020 pertenecían a los productos ICS desplegados en todo el mundo.

Desglose de los avisos de ICS-CERT del primer semestre de 2020 por el alcance geográfico de implementación de los productos afectados.

 

Los sectores de energía, fabricación crítica, agua y aguas residuales fueron con mucho, el más afectado por las vulnerabilidades publicadas en los avisos de ICS-CERT

 

El vicepresidente de investigación de Claroty, Amir Preminger, dice: "Nuestros hallazgos muestran lo importante que es para las organizaciones proteger las conexiones de acceso remoto y los dispositivos ICS orientados a Internet, y protegerse contra el phishing, el spam y el ransomware, a fin de minimizar y mitigar los impactos potenciales de estas amenazas".

Panorama

Más del 70% de las vulnerabilidades del sistema de control industrial (ICS) reveladas en el primer semestre (1H) de 2020 se pueden explotar de forma remota, lo que destaca la importancia de proteger los dispositivos ICS conectados a Internet y las conexiones de acceso remoto.

El aumento del trabajo remoto ha aumentado la dependencia del correo electrónico como mecanismo de comunicación vital. Por tanto, estas condiciones también aumentan el riesgo de que el personal sea blanco de ataques de phishing o spam y, por lo tanto, ransomware y otro malware.

Es claro que la entrada de Internet en la industria sirvió para abrir muchas nuevas oportunidades para las compañías, que supieron aprovechar, pero cerrando los ojos a los riesgos o simplemente ignorándolos. 

Aislar el ICS del Internet puede ser una solución para eliminar las amenazas entrantes, pero negando todas las oportunidades por las que una vez el Internet entró en el sector.

¿Qué es lo más correcto ahora?¿Es rentable invertir en seguridad y procesos de control de calidad?

Hoy en día existe una mayor conciencia de los riesgos que plantean las vulnerabilidades de ICS y un enfoque más agudo entre los investigadores y proveedores para identificar y remediar estas vulnerabilidades de la manera más eficaz y eficiente posible. Si no se protegen adecuadamente, los dispositivos ICS orientados a Internet pueden proporcionar un camino hacia las redes OT y la industria vital. Para exacerbar este riesgo está el hecho de que se sabe que los adversarios tienen a su disposición múltiples servicios de escaneo de Internet legítimos y de código abierto, como Shodan.io y Censys.io, para ayudarlos a identificar interfaces hombre-máquina (HMI) y otros dispositivos ICS que pueden haber quedado expuestos inadvertidamente a Internet.


Tags: #ICS #vulnerabilidades #IT #OT #SCADA #industrial #PLC


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.