Ciberseguridad Industrial: Tendencias y Lecciones Aprendidas

Fairuz Rafique, GICSP, CEO y fundador
Galactic Security Systems
https://www.galacticsecurity.systems/


RESUMEN: Históricamente, los sectores industriales han sido proactivos en la adopción de nuevas tecnologías para maximizar la eficiencia operativa y reducir los riesgos para la salud y el medio ambiente. En un ámbito aún más competitivo, industrias enteras se enfrentan a avances que se han incrementado lentamente a lo largo de los años, como la Ciberseguridad, la conectividad y el tiempo de actividad. Los desafíos que enfrenta la seguridad de los sistemas de control industrial (ICS) son monumentales. Las empresas, los investigadores y el gobierno están reaccionando en consecuencia, respondiendo a través de medios prácticos y altamente creativos para acelerar los esfuerzos de Ciberseguridad de ICS en industrias críticas en todo el mundo.


DESAFÍOS

Ingenieros experimentados y profesionales de sistemas de control en todo el mundo están acercándose a la jubilación. Estas personas han contribuido significativamente al desarrollo y mantenimiento de implementaciones industriales críticas que abarcan todas las industrias imaginables. A medida que un número cada vez mayor de estos profesionales se retiran de la fuerza laboral, gran parte de su experiencia y habilidades no se están transfiriendo a la siguiente generación. Para empeorar las cosas, los problemas de seguridad están surgiendo como nuestra infraestructura crítica se convierten cada vez más conectado en un mundo hiperconectado.

Según el repositorio de ataques ICS, www.risidata.com , el primer ataque de ICS se registró en 1982. Se dice que el evento involucró a los “Estados Unidos que permiten a Rusia robar el software de control de tuberías de una compañía canadiense” que incluyó un troyano “que causó una gran explosión del gasoducto Transiberiano en junio de 1982”. Además, “el troyano se ejecutó durante una prueba de presión en el gasoducto, pero duplicando la presión habitual, causando la explosión [1]. Se dice que el impacto de esta explosión tuvo un impacto con la fuerza equivalente a un arma nuclear de 3 kilotones. Los ataques a ICS se están volviendo cada vez más sofisticados y más desafiantes en cuanto a seguridad y consideraciones de tiempo de actividad.

Los sistemas de control industrial (ICS), como los sistemas de control de procesos, los SCADA, y los sistemas de control distribuido (SCD), están diseñados para operaciones óptimas, ininterrumpidas y seguras. Los líquidos y los gases en temperaturas y presiones extremas son comunes en muchas industrias de procesos e instalaciones de fabricación discretas. Para mitigar cualquier peligro que pueda surgir debido a la falla de las operaciones normales, los sistemas instrumentados de seguridad están diseñados estratégicamente para detener los procesos de manera segura y prevenir accidentes que pueden causar daños al equipo, pérdida de vida y desastres ambientales. Históricamente, se pensaba que estos sistemas estaban “desconectados” de Internet, un supuesto que ha sido ampliamente cuestionado por los expertos en seguridad de sistemas de control.

Sus dudas se validan hasta cierto punto, ya que la cantidad de ICS conectados a Internet que se encuentra a través de motores de búsqueda especializados como Shodan es alarmante. Investigadores y profesionales de la seguridad han citado y reportado sistemas de control que pertenecen a presas, instalaciones petroquímicas, puentes y muchas otras instalaciones. Se puede suponer que las redes de comunicación y datos que soportan ICS han estado expuestas a Internet a través de una mala implementación y la falta de configuración segura desde un inicio.

Además, la seguridad de la información y las prácticas de implementación y diseño basadas en la seguridad pueden considerarse más como un hecho reciente si se trata de comparar la seguridad de ICS como una práctica con el campo general de la seguridad de la información, que maduró en la práctica en los últimos años. Desafortunadamente, el nivel de madurez varía según la industria y, específicamente, se ha retrasado más en las industrias que dependen de ICS, como la manufactura, el petróleo y gas, la energía, la química, etc.

Otro factor desafiante al problema en general se atribuye a la situación actual a nivel mundial en relación con la escasez de profesionales con experiencia en el campo de la ciberseguridad. Para empeorar las cosas, los profesionales de seguridad con experiencia práctica en los entornos de ICS son incluso escasos. Además de la escasez de profesionales de seguridad de ICS, existen tres problemas que lo agravan:

  1. Existe una fuerte barrera de entrada para los profesionales de seguridad de la información que desean ingresar al espacio de seguridad de ICS, principalmente debido a la falta de capacitación y los recursos disponibles. Además, los materiales de capacitación y certificación estándar para profesionales de la seguridad no se sumergen en el ámbito de ICS, y es comprensible, dado a la inmensidad, profundidad y diversidad del espacio de ICS en sí.
  2. Los profesionales de seguridad de la información tienen acceso a herramientas gratuitas y de código abierto que están ampliamente disponibles, y están respaldados por materiales de capacitación, guías en línea y videos de YouTube, lo que les permite a los profesionales practicar y obtener experiencia en el tema de manera independiente y rentable. Este no es el caso de los profesionales de la seguridad que desean adquirir experiencia práctica en el espacio de ICS, principalmente debido a la falta de acceso a sistemas y componentes propietarios y, a menudo, costosa. La capacitación oficial puede ser costosa para las personas y ese costo a menudo es cubierto por los empleadores que en la mayoría de casos se queja de los costos, pero en esta especialidad, toda inversión es rentable a mediano y largo plazo.
  3. Las herramientas ampliamente utilizadas que conforman el conjunto de herramientas típico de los profesionales de seguridad de la información plantean un problema para el ICS donde los recursos del sistema están limitados y, a menudo, se dedican solo a la ejecución de la lógica de control pre programada y otras tareas operativas básicas.

Por último, existen numerosos casos de mal funcionamiento del sistema y de interrupción operativa causados por las herramientas de seguridad tradicionales, y faltan herramientas de seguridad ICS de código abierto oficialmente probadas y aprobadas disponibles para los profesionales.

OPORTUNIDADES

Los desafíos para la seguridad de ICS son abruptos y, retrospectivamente, las oportunidades son enormes. El Departamento de Seguridad Nacional de los Estados Unidos ha desempeñado un papel clave en la seguridad de ICS, difundiendo directivas y guías de mejores prácticas para el sector privado desde fines de los años noventa.

Se han establecido muchos estándares internacionales y han comenzado a ser adoptados por industrias como ISA99 / IEC 62443 y NIST 800-82. Desde una perspectiva de cumplimiento normativo, la infraestructura de generación y distribución de energía tiende a ser los sectores más regulados.

Los esfuerzos regulatorios varían según la jurisdicción, pero los sectores de generación y distribución de electricidad mantienen el foco debido a su criticidad. En los Estados Unidos, el Centro Nacional de Intercambio de Información y Centros de Análisis (ISAC) se estableció en 2003 para facilitar el intercambio de información entre el gobierno y el sector privado para difundir información crítica, como las amenazas a nivel nacional y las actividades que representan un riesgo para la Infraestructura crítica.

Hoy en día, hay 24 ISACs sectoriales que abarcan diversas industrias y sectores. Esta iniciativa de intercambio de información es un ejemplo clave de la colaboración exitosa del gobierno y el sector privado para objetivos mutuos.

Un evento industrial ampliamente popular y clave para los profesionales de seguridad de ICS es la conferencia anual S4 organizada por Dale Peterson, en la que los profesionales, los propietarios de ICS, los proveedores de seguridad de ICS y otros roles diversos organizan debates, reuniones y charlas. El tema de discusión que se desprende de las conferencias S4 de los últimos años y las discusiones generales de la industria apuntan a la falta de conciencia de seguridad entre el personal en las plantas y operaciones.

Varias conversaciones, artículos en Internet y experiencias personales indican que nos encontramos en una encrucijada de una oportunidad importante, y que está ganando popularidad entre los profesionales de seguridad de ICS y los gerentes de operaciones de planta.

Dado que los ingenieros de planta están bien capacitados en consideraciones operativas y el personal de TI capacitado en consideraciones de seguridad, ¿por qué no permitir que pequeños equipos de expertos de cada lado colaboren bajo la supervisión de los gerentes de TI y OT para lograr objetivos mutuos?

Esta iniciativa no solo facilitaría un intercambio de habilidades y conocimientos por parte del personal de TI y de OT, sino que también deja espacio para soluciones innovadoras y creativas para problemas difíciles. Además, las organizaciones pueden beneficiarse de tener estos esfuerzos y el programa interno de seguridad de ICS revisado y evaluado por expertos externos en seguridad de ICS.

Esta es una práctica común dentro de la seguridad de TI, y muchas organizaciones maduras dentro de la seguridad de ICS han utilizado enfoques similares.

Con la falta de profesionales de seguridad de ICS, existe una oportunidad fantástica para que profesionales de diversos orígenes amplíen sus habilidades y conocimientos dentro de la seguridad cibernética, y más específicamente dentro de la seguridad cibernética de ICS. Un método es perseguir certificaciones profesionales oficiales.

Hay algunas certificaciones que sirven como fundamentos efectivos para que los profesionales comiencen a expandir su práctica dentro de la seguridad de ICS. Las siguientes certificaciones han estado disponibles para profesionales durante algunos años que se adaptan a la seguridad de ICS:

  1. Certificación ISA / IEC 62443 : cinco certificaciones disponibles de ISA;
  2. Global Industrial Cyber Security Professional (GICSP) por SANS GIAC;
  3. Respuesta GIAC y Defensa Industrial (GRID) por SANS GIAC;
  4. GIAC Protección de Infraestructura Crítica (GCIP) por SANS GIAC; y

TENDENCIAS

Al evaluar los riesgos en un entorno de ICS, los hallazgos a menudo se evalúan con respecto a las cinco funciones de riesgo de Identificar, Detectar, Proteger, Responder y Recuperar, según se define en el Marco de seguridad cibernética (CSF) del NIST.

La investigación de mercado muestra que hay al menos un total de 300 planificadores en el espacio de seguridad de ICS a partir del primer trimestre de 2019, que ofrecen diversas soluciones y servicios, y de los productos que se ofrecen, la mayoría están orientados a la identificación de activos y el monitoreo de la seguridad de la red.

Las capacidades de estos productos están alineadas con diversos componentes dentro de las funciones de riesgo de CSF, pero se enfocan principalmente en la capacidad de identificar activos y monitorear y alertar sobre el tráfico de red asociado.

En el pasado, un desafío clave para las organizaciones han sido la capacidad para identificar correctamente todos los activos del ICS y controlar su tráfico de red en busca de amenazas de seguridad.

Comprensiblemente, las soluciones dentro de esta área específica están experimentando una creciente adopción por parte del mercado, ya que la identificación y el monitoreo de activos juegan un elemento fundamental para permitir que cualquier organización tome medidas prácticas adicionales para detectar y responder a las amenazas. Sin identificación y monitoreo, una organización no tiene un método para poder discernir si las interrupciones del proceso están siendo causadas por un incidente cibernético.

Por ejemplo, los investigadores informaron recientemente que descubrieron una nueva clase de malware ICS llamado TRISIS, diseñado para atacar y deshabilitar los sistemas de seguridad de una planta. TRISIS fue reportado por primera vez por investigadores de seguridad en una planta petroquímica saudí donde se interrumpieron los procesos de la planta y se desactivaron los sistemas de seguridad.

Antes de que los investigadores de seguridad llegaran al sitio, los ingenieros de la planta no sabían que la causa real de las múltiples interrupciones recientes del proceso estaba realmente relacionadas con el ciberespacio. Además, el descubrimiento de TRSIS es un punto de inflexión para la seguridad de ICS, ya que ahora estamos presenciando una nueva frontera donde los sistemas de seguridad están en la mira de los atacantes dispuestos a causar daños catastróficos que pueden causar la pérdida de vidas humanas [3].

Incluso con la adquisición y el despliegue de varias soluciones de seguridad dirigidas a ICS, los entornos de planta a menudo carecen de los recursos y el personal para asumir todas las responsabilidades de seguridad de ICS. Como se mencionó anteriormente, puede ser factible para muchas organizaciones capacitar al personal de TI y OT para ayudar a cerrar la brecha a fin de asumir los diversos roles y responsabilidades necesarios para un programa de seguridad de ICS efectivo.

Pero para muchas otras organizaciones, la seguridad de ICS aún puede estar en su infancia, o incluso pueden no tener todas las piezas del rompecabezas para implementar un programa de seguridad holístico y efectivo, y mucho menos poder comenzar a planear uno. En tales situaciones, se recomienda a las organizaciones que busquen ayuda de expertos que puedan ayudar a identificar las brechas en la seguridad de ICS, los pasos necesarios para planificar y comenzar un programa de seguridad cibernética de ICS.

LECCIONES APRENDIDAS

Para muchas organizaciones, es posible que los pasos prácticos hacia la seguridad de ICS no comiencen con la adquisición importante de equipos y servicios. Más bien, puede comenzar con esfuerzos internos dirigidos a comprender el alcance y los esfuerzos organizativos generales requeridos para comenzar a implementar un programa de seguridad de ICS. Un programa de seguridad bien ejecutado no se define por las actividades de adquisición de soluciones, sino que se trata de un enfoque holístico basado en el ciclo de vida con procesos bien definidos, guiado por procedimientos que se aplican mediante políticas de seguridad de alto nivel. La adquisición de herramientas y equipos de seguridad es solo uno de los componentes de un programa de seguridad integral, y una adquisición única no lo hará, y seguramente no elimina todos los vectores de ataque. Tenga en cuenta que el vector de ataque en el ataque de Stuxnet ampliamente referenciado contra las operaciones de enriquecimiento de uranio de Irán no fue un ataque basado en la red, fue un malware diseñado cuidadosamente que proliferó a través de los medios de almacenamiento.

Un escalón fantástico es comenzar a aprovechar las mejores prácticas y estándares existentes y ampliamente accesibles, como ISA 99 / IEC 62443 y NIST 800-82. Muchos conceptos básicos de seguridad de TI pueden no traducirse al dominio ICS. Por ejemplo, muchas pantallas HMI, pantallas táctiles e interfaces de operador pueden carecer o incluso compartir contraseñas entre ingenieros. Esto no es válido para la seguridad de TI, pero es una práctica estándar y conocida en ICS. La gestión de credenciales en muchos componentes de ICS no es práctica y, en muchos casos, incluso puede limitar o incluso interrumpir los procedimientos operativos estándar de un ingeniero para las funciones clave de la planta. Algunos pasos clave para los propietarios de ICS pueden comenzar con lo básico y luego pasar a pasos más avanzados.

Estos conceptos básicos incluyen, entre otros:

  1. Realizar un inventario de inventarios de todos los ICS independientes y en red : una simple hoja de cálculo de Excel es un punto de partida;
  2. Revisar, limitar y justificar todas las conexiones de acceso remoto a otros sitios y a la red OT – nuevamente una hoja de cálculo de Excel;
  3. Identificar el objetivo operativo de los activos clave de ICS y determinar su superficie de ataque; y
  4. Una vez que se han realizado los pasos anteriores, avance para mejorar los problemas más grandes que pueden estar presentes, como topologías de red planas, falta de monitoreo del tráfico de red de ICS, falta de parches, capacidades de respuesta a incidentes y más.

Las consideraciones de diseño, implementación y seguridad nunca son uniformes. Dos plantas diferentes pertenecientes a la misma organización que realizan operaciones idénticas pueden tener una arquitectura ICS completamente diferente. Por lo tanto, las estrategias de mitigación de riesgos nunca deben basarse en sitios anteriores o normas de la industria, sino que se centran en el láser en el despliegue de ICS del sitio real, las necesidades de red y la disponibilidad, y las consideraciones de seguridad y confiabilidad subyacentes para operaciones seguras e ininterrumpidas.

REFERENCIAS

  1. https://www.risidata.com/Database/Detail/cia-trojan-causes-siberian-gas-pipeline-explosion
  2. Formby, D., Rad, M. y Beyah, R. ( 2018). Reducir las barreras a la seguridad del sistema de control industrial con GRFICS. https://www.usenix.org/system/files/conference/ase18/ase18-paper_formby.pdf
  3. Higgins, K. (2019). Tritón / Ataque de crisis fue más generalizado de lo que se conoce públicamente. https://www.darkreading.com/attacks-breaches/triton-trisis-attack-was-more-widespread-than-publicly-known/d/d-id/1333661 [Consultado el 11 de marzo de 2019] .

ACERCA DEL AUTOR

Fairuz Rafique es un profesional de seguridad de ICS y fundador de la firma de seguridad cibernética industrial (ICS / OT) Galactic Security Systems. Ha trabajado para General Electric como Consultor Sr. en seguridad ICS, Analista de Seguridad de la Información para AirWatch B y VMware, y por Mimir Soluciones Blockchain como Director de Cumplimiento de Seguridad. Fairuz obtuvo su Licenciatura en Ciencias en Seguridad de la Información y Aseguramiento de la Universidad Estatal de Kennesaw, y posee la certificación Global Industrial Cyber Security Professional (GICSP). Le apasiona la seguridad de ICS y dedica su tiempo libre a leer sobre el tema, andar en bicicleta y trabajar. Se le puede contactar en LinkedIn y por correo electrónico: info@galacticsecurity.systems.

1+
Compartir:

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.