En vista de los recientes ataques a sistemas de control industrial, queremos ampliar sobre algunas medidas que deberían implementarse para hacer que los sistemas SCADA y los sistemas de control industrial (ICS) que controlan infraestructuras críticas sean inherentemente más seguros. Esperamos que la mayoría de nuestros clientes ya hayan investigado el uso de la mayoría o todas estas medidas en sus configuraciones de seguridad, pero discutiremos y ampliaremos según sea necesario, utilizando recomendaciones actuales de orientación de la industria.
Sobre-relianza en sistemas de aislamiento
Sabemos por experiencia que no es posible simplemente aislar la mayoría de los sistemas SCADA, ya sea que el sistema se esté utilizando dentro de infraestructuras críticas o no. La orientación actual de seguridad de los ICS/SCADA reconoce que el aislamiento no es necesariamente un método confiable de seguridad, a menos que la planta sea, por ejemplo, una subestación sin automatización que se conecte fuera del perímetro de la valla física de la planta.
El equipo de la subestación puede tener entre 30 y 50 años y depende del reinicio automático de interruptores y transformadores basados en escenarios muy específicos de las redes de alta y media tensión a las que están conectados. Sin embargo, cualquier cosa fuera de los escenarios programados crea la necesidad de reinicio manual del equipo: el personal debe visitar físicamente la planta o subestación para reiniciar o arrancar el equipo.
Las instalaciones de plantas de tratamiento de agua antiguas y los tanques también pueden caer en esta categoría, a menos que los controles se hayan actualizado recientemente, en cuyo caso los sistemas SCADA podrían estar disponibles de forma inalámbrica o a través de conexiones a Internet introducidas descuidadamente en la instalación.
Los sistemas verdaderamente “aislados” sufren en otras áreas de intrusión, como la ingeniería social y las unidades flash USB o incluso CDs o DVDs infectados; si el equipo de control se basa en una PC y las máquinas no se han asegurado ni bloqueado lo suficiente. Este único vector de ataque es suficiente para crear preocupaciones sobre los bots de reprogramación de SCADA y PLC/RTU que se pueden introducir y existir dentro de un sistema no protegido. Este fue el vector de infiltración utilizado por el exitoso ataque Stuxnet, y una vez infiltrados, se utilizaron ataques MiM para falsear las estaciones HMI/operador sobre el estado real de los PLC y el equipo.
Más allá de las medidas de seguridad predeterminadas en sistemas de aislamiento
Las configuraciones predeterminadas de software y sistemas operativos no cubren los conceptos básicos de seguridad. Las prácticas recomendadas actuales incluyen crear subredes para el sistema de control industrial y utilizar una “DMZ” para separar el historial de datos de la red empresarial, donde se pasa la información para su visualización, análisis y el sistema ERP. En una solución de sistema SCADA única como AVEVA Edge, el sistema SCADA debe diseñarse como el “guardián” de los datos, es decir, debe ser el único medio para ingresar datos (por ejemplo, la entrada del operador) o salir de ellos (visualización y análisis del proceso) utilizando cortafuegos y salvaguardas apropiadas donde sea necesario.
Medidas de seguridad para dispositivos físicos
Las llaves USB y los dispositivos portátiles, como los ordenadores portátiles conectados a los sistemas de control, siguen siendo uno de los mayores vectores de amenazas para el malware y los ataques. Los puertos USB deben estar controlados y aislados, y siempre deben ser escaneados por software o dispositivos anti-malware antes de ser permitidos fuera de una DMZ.
Análisis de brechas y amenazas persistentes avanzadas
La seguridad de su sistema de control debe ser en capas. Las amenazas persistentes avanzadas solo pueden introducirse en sistemas que puedan albergarlas, y pueden esperar mucho tiempo antes de activarse. Al realizar un análisis de brechas de la configuración de su sistema de control industrial, las amenazas ocultas pueden ser forzadas a mostrarse, ya sea mediante métodos de detección o haciéndolas visibles exponiendo su comportamiento diseñado. Existen muchos métodos para revelar amenazas persistentes avanzadas, y al comenzar a planificar su escaneo y aseguramiento, es mejor hacerlo con expertos que estén íntimamente familiarizados con el sistema SCADA que está utilizando y que sepan cómo eliminarlas o protegerse contra ellas sin interrumpir el funcionamiento de su sistema de control.
Precaución durante las pruebas de penetración
Los análisis de brechas y las evaluaciones de riesgos de su sistema son necesarios en intervalos continuos, especialmente si la configuración de su SCADA cambia con el tiempo. El uso de la herramienta US-CERT CSET puede ser de gran ayuda para comprender las necesidades de seguridad de su sistema SCADA. El uso de esta herramienta puede ayudar a formular preguntas específicas de la industria o región sobre su sistema basadas en cualquier número de estándares, como NIST, ISA/IEC, ANSI e ISO, e incluso en sus propias preguntas. En cuanto a las pruebas de penetración, si la necesidad se convierte en un requisito, deben aplicarse cantidades judiciosas de cuidado, y las personas contratadas deben saber exactamente lo que están haciendo. Durante las conferencias de NIST a las que asistí el año pasado, las mayores objeciones a las pruebas de penetración fueron la interrupción de los sistemas de control industrial y la pérdida de producción cuando se realizaban las pruebas. Además, algunas empresas que experimentaron pruebas de penetración en sus instalaciones citaron daños en el equipo, lo que en algunos casos resultó en la pérdida de datos, servidores dañados y pérdida de control de procesos. Por lo tanto, las pruebas de penetración deben realizarse después de que se muestre un requisito para ello, y por empresas de seguridad conocedoras con un historial probado de estar íntimamente familiarizadas con su sistema SCADA.
AVEVA se toma en serio la ciberseguridad y ofrece actualizaciones regulares para cualquier vulnerabilidad conocida. Al estar conscientes de los riesgos de seguridad, las empresas pueden protegerse mejor a sí mismas y a sus negocios.
Revisa nuestros productos AVEVA