Sistemas de control industrial seguros
Contra las amenazas del mundo moderno con la gestión de accesos con privilegios (PAM)
Este artículo presenta las preocupaciones de los CISOs y sus socios con respecto al desafío de la seguridad de los Sistemas de Control Industrial (ICS).
Es fundamental controlar el acceso a las Tecnologías Operativas (OT) industriales, ya que pueden tener un alto impacto en nuestra vida real. Cuando hablamos de seguridad de los ICS, se incluyen los sistemas de control de supervisión y adquisición de datos (SCADA) o los sistemas de control distribuido (DCS), que dependen de los controladores lógicos programables (PLC).
Los sistemas industriales deben cumplir con nuevos usos que aumentan fuertemente la superficie de ataque:
> Mayor conectividad con necesidades de acceso remoto (intervenciones remotas de guardia, acceso de proveedores, actividad remota de proveedores, etc.), especialmente si las cuentas utilizadas tienen privilegios especiales (derechos de administrador, actualización de software, etc.).
> Equipos de mantenimiento repartidos por todo el mundo.
> Infraestructuras dispersas.
> Herramientas dispersas para acceder a distancia a los sistemas de OT (por proveedor, por filial/sitio, etc.).
Depende cada vez más de los componentes informáticos para mejorar el rendimiento y reducir costes, pero que pueden ser vulnerables. La mayoría de los protocolos industriales se basan ahora en TCP/IP e incluso los Programmable Logical Controllers (PLC), Remote terminal unit, etc. funcionan con sistemas operativos del mundo informático (Windows, Linux).
Al mismo tiempo, la amenaza cibernética nunca ha estado tan presente con un aumento y una profesionalización de la ciberdelincuencia (ransomware, worms, etc.).
Las consecuencias pueden tener un impacto masivo en el mundo real.
A diferencia de las redes empresariales administrativas, que gestionan la información, los ICS gestionan los procesos operativos físicos.
Un incidente cibernético podría tener los siguientes impactos:
> Imposibilidad de planificar la producción.
> Bloqueo o parada de la cadena de producción.
> Imposibilidad de entregar y facturar.
> Desconexión de los sistemas industriales por precaución.
Y más allá del impacto operativo, el impacto financiero puede llevar a una gran pérdida.
Estudio de caso: Cambio de los parámetros de una estación de tratamiento de agua
En su guía de ciberseguridad para operaciones industriales, la asociación CLUSIF expone el siguiente caso:
En 2021, un atacante consiguió acceder a la red industrial de una estación de tratamiento de agua de una ciudad de Florida a través de Teamviewer. A continuación, el atacante obtuvo acceso a una interfaz hombre-máquina (HMI) para controlar la concentración de hidróxido de sodio utilizada por la planta. Luego aumentó esta concentración de 100 partículas por millón a 11.100 partículas por millón. Con esta concentración, el agua podría haber sido peligrosa para cualquier persona en contacto con ella.
Las siguientes medidas habrían evitado este ataque:
> Evitar la exposición de un protocolo de acceso a Internet.
> Prohibir los flujos directos entre Internet y la red de OT.
> Establecer un mecanismo de acceso remoto seguro cuando se requiera un control remoto.
> Concienciar a los operadores de la necesidad de autentificar a las personas que desean acceder a los puestos de trabajo.
> Supervisar lo que se hace en los recursos más críticos.
Estudio de caso: Colonial Pipeline – Fallo en la gestión de credenciales
El caso del oleoducto colonial ha llegado a los titulares de las noticias. En mayo de 2021, el oleoducto estadounidense Colonial Pipeline es atacado por un ransomware que provoca una escasez de gasolina inmovilizando coches y aviones. Joe Biden declara el estado de emergencia y la empresa paga un rescate de cuatro millones de dólares.
La contaminación fue posible porque un empleado utilizó las mismas contraseñas para sus actividades personales y profesionales.
Las siguientes medidas habrían evitado este ataque:
> Prohibir los flujos directos entre Internet y la red de OT.
> Evitar la divulgación de credenciales gestionándolas en un Vault y asegurando una rotación con políticas gestionadas.
En el camino hacia el Zero-Trust, es fundamental controlar la identidad del usuario, pero también lo es supervisar las acciones de los administradores en las redes IT/OT de la administración.
Aportar valor a la empresa con la responsabilidad individual
¿Cómo garantizar la responsabilidad individual de las acciones realizadas durante el mantenimiento de los sistemas OT?
Los componentes tradicionales de los ICS han sido diseñados para la fiabilidad más que para la seguridad:
> No hay autenticación
> Sin integración en un directorio
> Conexión directa.
¿Cómo asignar la responsabilidad de las acciones en un equipo industrial que no requiere autenticación del usuario?
Sólo una de cada dos organizaciones está equipada con una solución PAM
Ahí es donde la Gestión de Accesos con Privilegios aporta todo su valor.
Al funcionar como un proxy, la solución autentifica a los administradores con una cuenta personal, y con autenticación multifactor (MFA) según sea necesario y les da acceso sólo a los dispositivos y sistemas SCADA en los que están autorizados a trabajar (el principio del mínimo privilegio).
Una vez autentificados, todas las acciones pueden ser auditadas y registradas, y los registros exportados en la solución en un SOC/SIEM.
Las contraseñas se almacenan en una bóveda, en la cual se pueden aplicar políticas.
¿Qué pasaría si tuviera una única solución para el acceso a los sistemas IT y OT, tanto para el acceso interno (desde la red) como el externo (desde Internet)? PAM para OT no es tan diferente de PAM para IT.
Lo que sugerimos hacer para asegurar el sistema de control industrial
No se puede proteger lo que no se puede controlar.
Se pueden tomar las siguientes medidas para proteger las instalaciones:
> Eliminar o desactivar las cuentas de los administradores que ya no trabajan en el sistema industrial
> Realizar una revisión de los derechos de acceso de los proveedores de servicios de terceros a los sistemas OT
> Garantizar que las acciones de alto privilegio requieran autenticación junto con una autenticación fuerte (MFA)
> Clasificar las cuentas privilegiadas para disociarlas en función de sus necesidades (nivel 1, 2, 3, por ejemplo, separar las cuentas de administración de las de mantenimiento)
> Control del acceso externo a los sistemas industriales con autenticación fuerte, flujos de trabajo de validación/aprobación locales
> Supervisión de las sesiones para detectar comportamientos anormales
> La mayoría de las intrusiones complejas están precedidas por fases de reconocimiento, el control del operador de las acciones legítimas en su red industrial debe permitir identificar las actividades anormales
PAM para asegurar el sistema de control industrial consiste en facilitar el cumplimiento con seguridad, visibilidad e informes
Tanto nosotros como las principales agencias de seguridad nacionales (CISA, NCSC, ANSSI, BSI) recomendamos iniciar el camino hacia la seguridad Zero-Trust mediante la gestión de las identidades y la implementación de una solución PAM lo antes posible, ya sea para redes e infraestructuras de IT o de OT.
Los proyectos PAM no están reconocidos como plug & play. Pero la nueva generación de soluciones PAMaaS acelera el time-to-value y permite alcanzar rápidamente un equilibrio »security-to-cost».