Ciberseguridad en Redes de Control Industrial (SCADA)

Ing. Antonio Ortiz Islas
NSI Networks, Gerente de Operaciones Región Centro, México, antonio.ortiz@nsi-networks.com

InTech México Automatización,
Edición Septiembre – Noviembre 2017.

RESUMEN

En este documento se definen los sistemas de control industrial tipo SCADA, se mencionan las principales políticas de seguridad en las redes y se exponen las categorías más comunes de vulnerabilidad en las interfaces hombre máquina.

PALABRAS CLAVES: Ciberseguridad, políticas SCADA, Vulnerabilidad, IDMZ, Firewall.

INTRODUCCIÓN

El incremento de los ataques cibernéticos en las redes de control industrial amenaza el proceso productivo de tal manera que es necesario diseñar e implementar esquemas de seguridad robustos en infraestructura crítica [1], como la arquitectura de defensa de profundidad de acuerdo a la norma ISA/IEC 62443 [2], para mantener la operación y evitar pérdidas económicas asociadas.

El cambio del protocolo de comunicación propietario al protocolo abierto TCP/IP, la evolución de las arquitecturas a redes convergentes [3] (Ver figura 1), el error humano y no aplicar normativas de ciberseguridad son las principales causas para un acceso malicioso a las redes de control industrial, ya sea de forma directa o indirecta.

Figura 1. Red convergente que integra operaciones de la red corporativa y la red de control industrial.

SISTEMA SCADA

El sistema SCADA (Sistema de Supervisión, Control y Adquisición de Datos) es una red de control industrial, importante, crítica, constituida por infraestructuras inherentemente atractivas para diferentes entes amenazadores que tienen la finalidad de una infiltración al sistema para recopilar información como el diseño de una instalación, umbrales críticos o ajustes de dispositivos para utilizarlos en ataques cibernéticos, las acciones de sabotaje que incluyen: la interrupción de los servicios, el desencadenamiento de situaciones peligrosas e incluso letales que representa una situación en extremo indeseable.

El Sistema SCADA es una red convergente integrada básicamente por dos tipos de redes: la red corporativa y la red de control.

La red corporativa desarrolla operaciones de supervisión general del sistema y los usuarios, esta red requiere de procedimientos de autenticación y autorización rigurosos para acceder a la información de las bases de datos (históricos, alarmas, etc.) y los servidores críticos del sistema.

La red de control desarrolla las actividades configuración, mantenimiento y operación; como los mandos a actuadores, lectura de variables, monitoreo del proceso, etc.

La comunicación entre los dispositivos de la red de control utiliza protocolos específicos, tales como, Modbus/TCP (Modbus basado en el Protocolo de Control de Transmisión), DNP (Protocolo de Red Distribuida). En caso de requerirse deben soportar tecnologías como: líneas telefónicas, satélite, microondas, fibra óptica, wireless, seguridad de intrusión etc.

En la red de control interactúa una multitud de protocolos propios de automatización industrial basados en TCP/IP para el control remoto o todos aquellos pertenecientes a la familia del Protocolo Industrial Común CIP, mantenido por la organización Open DeviceNet Vendors Association (ODVA), como Ethernet/IP, DeviceNet, CompoNet y ControlNet. No obstante, la mayoría de ellos presentan altas vulnerabilidades al carecer de mecanismos de protección.

La red de control tipo SCADA tiene una unidad terminal remota (UTR) que recibe la información de los elementos de campo y envía los datos a una interface humano máquina (HMI). Algunas HMI pueden soportar aplicaciones Web para presentar interfaces gráficas de estado a los responsables del control del sistema.

POLÍTICAS DE SEGURIDAD EN SISTEMAS SCADA

Las políticas de seguridad trasladan los requerimientos de seguridad y fiabilidad de cada sistema SCADA particular a una serie de procedimientos auditables, los cuales permiten salvaguardar la seguridad en su diseño, implementación y posterior funcionamiento.

Las políticas de seguridad definen las acciones de los diversos elementos físicos, las reglas y los procedimientos durante las ventanas de mantenimiento, la gestión de incidencias y definen las responsabilidades de cada uno de los miembros de la organización con respecto a la seguridad del sistema en su conjunto.

Las principales políticas de seguridad para los sistemas SCADAS son:

  • Protección de datos (acceso y almacenaje).
  • Configuración del hardware y software (virus, detección de intrusos, control de acceso, cifrado).
  • Seguridad en las comunicaciones (acceso inalámbrico, local, remoto), recursos humanos (uso del sistema, preparación y reciclaje).
  • Auditorías.
  • Seguridad física (acceso a equipamiento, destrucción de material).
  • Ejecución de operaciones de forma manual en caso de fallo.

La norma ISA/IEC 62443, define redes de comunicación redundantes y con alta disponibilidad que permiten establecer las fronteras de seguridad del sistema y también permiten la implementación de controles específicos y aplicar múltiples capas de defensa como se muestra en la figura 2.

Figura 2 Arquitectura de seguridad ISA/IEC 62443 en capas donde se muestran las funcionalidades proporcionadas por cada una de las zonas.

MEDIDAS PREVENTIVAS

CONTROL DE ACCESO INTEGRAL

A medida que se incrementan el número y tipos de dispositivos que se conectan a una red de control industrial, las técnicas para administrar la seguridad y reducir riesgos se enfrentan al reto de mantenerse actualizadas para responder eficientemente a los distintos incidentes que se presentan en la operación diaria.

Los actuales sistemas de control de acceso proveen a los administradores de redes industriales con herramientas de administración simplificadas para las redes de IT y OT. Estas herramientas establecen privilegios de acceso en base a perfiles y roles de usuario dentro de la red alámbrica o inalámbrica, además de monitorear constantemente la red para asegurarse que usuarios están accediendo a la infraestructura de red autorizada. Los usuarios solo obtienen acceso a los segmentos de la red industrial que las políticas de seguridad establecidas le permiten.

ZONAS INDUSTRIALES DESMILITARIZADAS DE DEFENSA (IDMZ)

Los acciones de protección requeridos por una red industrial demandan una estrategia de defensa a fondo que utiliza capas múltiples de defensa para enfrentar cualquier tipo de amenaza.

Actualmente muchas instalaciones utilizan una estrategia de defensa que combina sistemas de control de identidad avanzados con políticas de seguridad perimetrales, estrategia conocida como IDMZ (Zona industrial desmilitarizada), que refuerza las políticas de seguridad de datos entre una red industrial y la red empresarial. Las zonas IDMZ consisten de una diversidad de dispositivos y sistemas que incluyen: firewalls, redes VPN o sistemas de control de acceso, adicionales a los dispositivos tradicionales en la infraestructura de red como son los enrutadores, conmutadores y servidores.

SISTEMAS DE BLOQUEO DE PUERTOS TCP/UDP FIREWALL

La organización Centro para la Protección de la Infraestructura Nacional (CPNI) presentó una guía para la configuración y gestión de firewalls para sistemas de control. Dicha guía describe una posible arquitectura de red segura y escalable basada en una división de tres zonas principales, con el objetivo de delimitar cada una de las entidades del sistema, siendo la primera línea de defensa el firewall, los sistemas detectores de intrusos IDS y la zona desmilitarizada DMZ.

El firewall deberá filtrar, por un lado, direcciones de red de forma que cada componente SCADA tendrá asignada una dirección IP y uno (o varios) puertos TCP/UDP; y por otro lado, filtrar también a nivel de aplicación, centrando su uso en aquellos servicios de mayor riesgo en una red SCADA, considerando además algunos propios del sistema. Actualmente, existen varios firewalls exclusivos para entornos industriales y la integración de empresas especialistas en los campos de las comunicaciones y de control industrial ha facilitado la implementación de estas soluciones.

SISTEMAS DETECTORES Y PREVENTORES DE INTRUSOS (IDS/IPS)

Los administradores de una red industrial utilizan sistemas detectores de intrusos (IDS), para monitorear y generar alarmas para cualquier tráfico fuera de los estándares normales. Un sistema IDS se basa en la supervisión pasiva del tráfico de red. Se pueden escribir reglas sencillas para supervisar actividad de direcciones IP, protocolos, longitudes de paquetes, etc. Además, los proveedores de estos sistemas podrían proporcionar firmas de tráfico específicas para las redes industriales a analizar.

Existen dispositivos con mayores funcionalidades como los sistemas preventores de intrusos (IPS), que actúan en coordinación con firewalls, conmutadores o enrutadores, que bloquean tráfico que no cumple con las reglas definidas. Los sistemas IDS/IPS son una parte vital de la estrategia de Defensa en profundidad y proporcionan acciones automáticas para responder a eventos extraños e inesperados.

CATEGORÍAS DE VULNERABILIDAD DE HMI MÁS COMUNES

Los atacantes se infiltran en los sistemas SCADA a través de diversos medios, uno de los cuales es a través de la explotación de vulnerabilidades de software que prevalecen en la interfaz hombre-máquina (HMI). Como tal, la interfaz hombre-máquina debe ser considerada como un objetivo primario de ataque dentro de un sistema SCADA, el cual sólo debe instalarse en una red aislada o confiable pero la experiencia demuestra que no siempre es así.

La empresa TrendMicro, dedicada a desarrollar software de seguridad para eliminar virus, malware, etc, realizó un estudio acerca de todas las vulnerabilidades presentadas los sistemas SCADA que se han fijado a partir de 2015 y 2016 [4]. De este estudio, se estableció que las vulnerabilidades más frecuentes se encuentran en las áreas de corrupción de memoria, administración de credenciales deficiente, ausencia de autenticación/autorización, valores predeterminados inseguros y errores de inyección de código; todas ellas prevenibles por medio de prácticas seguras de desarrollo de software. A continuación se muestran, en la figura 3, estas vulnerabilidades y su porcentaje presencial identificadas en las interfaces Hombre-Máquina.

Figura 3. Presencia de ataques a interfaces hombre-máquina en sistemas SCADA, registrados por TrendMicro.

Corrupción de memoria: Los problemas de corrupción de memoria representan el 20% de las vulnerabilidades identificadas. Las debilidades de esta categoría representan problemas clásicos de seguridad de código, como los desbordamientos de pila y vulnerabilidades de lectura/escritura fuera de los límites permitidos.

Administración de credenciales: El área de administración de credenciales representa el 19% de las vulnerabilidades identificadas. Las vulnerabilidades en esta categoría se relacionan con el almacenamiento de contraseñas en un formato recuperable (por ejemplo, texto sin cifrar), y la insuficiente protección de las credenciales.

Ausencia de autenticación/autorización y defaults inseguros: Esta categoría representa el 12% de las vulnerabilidades en sistemas SCADA. En este apartado se Incluyen muchos valores predeterminados inseguros, transmisión en texto claro de información confidencial, cifrado débil de información y controles ActiveX inseguros.

Incidentes por inyección de código: Estos problemas representan el 9% de las vulnerabilidades identificadas. Aunque los incidentes por inyección de código se mantienen para los sistemas tradicionales (SQL, código, comandos, sistemas operativos, etc), hay inyecciones de código específicas que representan un riesgo para los sistemas SCADA.

CONCLUSIONES

Los procesos dependen de los sistemas de control y monitoreo SCADA. Con la popularidad que han ganado las redes industriales y su integración a las redes empresariales tradicionales, se hace necesario mantener seguros los sistemas y canales de comunicación de esta infraestructura crítica. Una interrupción en alguno de los componentes del sistema debido a un ataque, podría derivar en una falla global y por consiguiente la perdida de mandos y acciones de control afectando al proceso productivo.

Es por esta razón que en la actualidad es necesario implementar infraestructuras criticas seguras alineadas a normas al respecto como la propuesta en la norma ISA/IEC 62443, con objeto de asegurar la infraestructura y hacerla proactiva y autodefendible, implementando dispositivos de seguridad y definiendo políticas rigurosas para el control de procesos.

Para proteger la operación y buen funcionamiento de los sistemas SCADA, es esencial definir una serie de políticas de seguridad. Es necesario mantener siempre una visión actualizada de los nuevos problemas de seguridad y estar al tanto de nuevas recomendaciones técnicas al respecto.

GLOSARIO

Ciberseguridad – La seguridad informática, también conocida como Ciberseguridad o seguridad de tecnologías de la información, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, a la información contenida en una computadora o circulante a través de redes de computadoras.

Firewall – Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico entrante/saliente de red y decide si permite o bloquea tráfico específico en función de un conjunto definido de reglas de seguridad.

IDS – El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.

IPS – Un IPS (sistema de prevención de intrusiones) es un sistema de prevención/protección para defenderse de las intrusiones y no sólo para reconocerlas e informar acerca de ellas, como hacen la mayoría de los IDS.

Zona DMZ – En seguridad informática, una zona desmilitarizada (conocida también como DMZ, sigla en inglés de demilitarized zone) o red perimetral es una zona segura que se ubica entre la red interna de una organización y una red externa, generalmente en Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que en general las conexiones desde la DMZ solo se permitan a la red externa.

Política de seguridad – Una política de seguridad es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. De manera general, las políticas se configuran en dispositivos de seguridad permitiendo/negando acciones de acuerdo al perfil del usuario.

Vulnerabilidad – Las vulnerabilidades son puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad de un sistema. Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten código arbitrario, denominadas vulnerabilidades de seguridad, en un sistema comprometido.

REFERENCIAS

[1] Homeland Security. (2017) Critical Infrastructure Security. Sitio web: https://goo.gl/m8Bb7n

[2] ISA IEC. (2013). IEC 62443-3-3:2013 Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels. Switzerland: IEC.

[3] The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Sitio web: https://goo.gl/jvsFrg

[4] The State of SCADA HMI Vulnerabilities.Sitio web: https://goo.gl/nq2GMU

ACERCA DEL AUTOR

El Ing. Antonio Ortiz Islas, Ingeniero en Comunicaciones y Electrónica, egresado de la ESIME-IPN, cuenta con más de 25 años de experiencia en el diseño, implementación y administración de redes de voz y datos.

En el área del control industrial, colaboro como auditor y gestor de avances para el Proyecto de Conversión Informática Año 2000 en los sistemas de control de CFE, PEMEX, LyFC y otras empresas del Gobierno Federal.

Actualmente se encuentra colaborando en diversos proyectos nacionales e internacionales de redes de voz/datos, Fibra, FTTX, Seguridad y Análisis Forense para la empresa NSI Networks (Network Solutions & Infrastructure).

En el ámbito académico, Ing. Ortiz desarrolla e imparte Cursos y Diplomados en materia de redes de voz/datos, Seguridad Informática y Sistemas de Análisis de Trafico y Forense para el Instituto Politécnico Nacional y el Tecnológico de Estudios Superiores de Ecatepec.

1+
Compartir:

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.