Por Stephen Fallas, director Técnico de Seguridad para América Latina de Sourcefire.
Recientes compromisos de alto perfil apuntan a una necesidad urgente de asegurar el proceso del control de redes. Stuxnet, un gusano construido para atacar sistemas de control industriales, mostró lo que se puede hacer con un grupo de profesionales. Recientemente, Duqu entró al panorama de las amenazas permitiendo a los atacantes robar información de los fabricantes de sistemas de control y usar esa información para explotar entidades usando estos sistemas.
¿Por qué están siendo atacadas estas redes ?
La mayoría de las grandes compañías se están poniendo serias en lo que respecta a la seguridad. Trabajan con departamentos especializados los cuales se encargan de proteger dos redes claves: el centro de información (servers) y la automatización de las oficinas (estaciones de trabajo). Estas redes son esenciales para mantener el proceso del negocio a través de la organización. Sin embargo una "tercera red", la red de control de procesos, tendría que recibir la misma atención.
Las redes asociadas con los procesos industriales comúnmente conocidas como SCADA – Supervisory Control And Data Acquisition (Supervisión de Control y Adquisición de Datos, por sus siglas en español) conectan a los equipos en vez de conectar computadoras, sistemas de apoyo o personas. En sectores como servicios públicos, transporte, logística, fabricación y farmacéutico, estas redes son esenciales para el funcionamiento de la organización. En los servicios públicos son tan importantes como para ser considerados parte de la infraestructura crítica nacional. En logística, envían millones de paquetes al día. Sin embargo, en otras empresas, esta red opera tras bambalinas, silenciosamente mediando el acceso a los edificios, controlando la calefacción, la ventilación, los elevadores y el centro de datos de refrigeración.
Las redes SCADA son las más desprotegidas de todas y ahora los ciber-delincuentes han ampliado su visión. Si consiguen el acceso, las consecuencias para muchas organizaciones, sus clientes y quizá la población entera, podrían resultar muy peligrosas.
¿Qué hace de estas redes más vulnerables?
· Los ataques son cada vez más sofisticados al mismo tiempo que los motivos se alejan de la gloria que buscan los aficionados por atacarlas en un principio, a la política en la forma de "hacktivismo", el espionaje y agresiones en contra del Estado.
· Las amenazas más avanzadas y persistentes – la de los profesionales- están impulsando un nuevo nivel de ataques ocultos y complejos que son difíciles de discernir sin mencionar lo complicado que es desarmarlos.
· Las redes están cada vez más conectadas mientras el mercado está hambriento por información para dirigir la toma de decisión y que los proveedores permitan tener acceso mediante Internet a toda su información con el fin de reducir costos de soporte y aumentar la retención de clientes.
· Diseñadas en épocas diferentes, las redes de control de procesos han sido consideradas intrínsecamente seguras y con frecuencia no incluyen conceptos básicos de seguridad. Cuando son liberadas por los vendedores de sistemas, los parches son difíciles de aplicar debido a los requisitos de disponibilidad del sistema.
· La red SCADA es a menudo "invisible" y carece de la atención e inversión para elevar su nivel de seguridad acorde con el aumento de las amenazas.
· En la mayoría de las organizaciones, los ingenieros de procesos de control manejan el proceso de control de redes mientras los técnicos del departamento administran otras redes. Ambos grupos tienen distintos mandatos y prioridades.
Dada la típica separación de tareas, cuando se consideran soluciones de seguridad, las organizaciones deberían de cambiar su mentalidad "IT" y tomar en cuenta las necesidades específicas y las prioridades de los ingenieros de control de procesos encargados de la gestión de la red SCADA.
En primer lugar, las herramientas de seguridad no deben interferir con los procesos de circuitos cerrados que puedan representar un riesgo para el control. En segundo lugar, la disponibilidad / tiempo de actividad es el objetivo primordial de la red. Tercero, las políticas regulares de cambio de contraseña pueden poner en riesgo una planta, bloqueando a los ingenieros fuera del sistema. Y en cuarto lugar, las herramientas de seguridad que requieran acceso directo a Internet no son viables de hecho muchas de las redes de control están reforzadas contra el Internet.
Al mismo tiempo, las redes de control de procesos tienen diferentes áreas de vulnerabilidad que deben ser protegidas. La interfaz hombre-máquina (HMI Human Machine Interface), servidores de proceso e historiadores típicamente están basados en el MS de Windows y son puntos de entrada potenciales para cualquier atacante que entra a través de la red corporativa. Las Unidades de Terminal Remota (RTU Remote Terminal Units) y los Controladores Lógicos Programables (PLC Programmable Logic Controllers) le suelen pertenecer y requieren un conocimiento sofisticado del sistema de control con el fin de penetrar, como lo demuestra el Stuxnet y Duqu.
Las siguientes pautas deben ayudar a las organizaciones identificar las soluciones de seguridad que respeten las necesidades y prioridades del entorno del proceso de control de redes al tiempo que mejora la protección. En concreto, las organizaciones deberán considerar soluciones que puedan:
- Proporcionar la flexibilidad necesaria para funcionar en modo pasivo o en línea sin interrumpir procesos de circuito cerrado, ya se en caso de una falla de software, hardware o electricidad.
- Apoyo a una vasta biblioteca y un formato abierto con el fin de aceptar las series de reglas de SCADA, normas que serán otorgadas por agencias de gobierno, otras normas de terceros y las normas del propietario exclusivas de la red de la organización.
- Control de uso de la red mediante la aplicación del “Grupo Userand” como una forma ideal para la segregación de las zonas de control de red para una máxima flexibilidad.
- Proporcionar descubrimiento de activos pasivos, evaluación automática de impacto y reglas sintonizadas para tomar acción correctiva sólo para las amenazas que son relevantes a la red específica de una organización.
- Ofrecer supervisión y administración centralizadas para unificar las funciones críticas de seguridad de red, simplificar la administración y agilizar la respuesta.
Las redes de control de procesos son de misión crítica y la seguridad es de suma importancia. Cada vez sobresaliendo más y más en el radar de los atacantes más sofisticados, es el momento para que la red SCADA sea detectada en el radar de la gerencia y obtenga la atención corporativa y la protección, que se merece.