Blog del CCI

martes, 8 de diciembre de 2015

Vectores de ataque y Ciberincidentes en Smart OT


En la actualidad, la llegada de Industria 4.0, Smart Grid, Smart City, o IoT (Internet de las Cosas), supone una nueva revolución en el ámbito industrial y de las infraestructuras, incorporando cada vez más tecnologías e introduciendo un mayor número de dispositivos que interactuarán entre sí y con sistemas de información internos, externos o en la nube. El uso de la comunicación M2M (Máquina a Máquina) con tecnología más avanzada y un mejor aprovechamiento de los datos proporcionados por los sensores, proporciona gran ventaja y precisión. Esto se debe a que los dispositivos que encontramos dentro de los entornos industriales, cada vez poseen una mayor inteligencia, aunque también complejidad.

Todas estas tecnologías podrían ser englobadas bajo el término Smart OT, denominación acuñada por el Centro de Ciberseguridad Industrial y que hace referencia al conjunto de tecnologías inteligentes de operación que integran la analítica de la información, la interoperabilidad y la conectividad como principales características para operar sobre el mundo físico.


El hecho de incorporar tantos dispositivos creará inicialmente problemas de escalabilidad, de gestión y de configuración, lo que puede ocasionar aumentos de latencia en las comunicaciones o fallos en los procesos, ambas situaciones supondrán un gran riesgo para los sistemas industriales, en los que la disponibilidad e integridad son fundamentales. Por ello, es necesaria la creación de estándares que promuevan el diseño de arquitecturas de red, sistemas y aplicaciones seguras.

También el incremento de dispositivos en entornos industriales interconectados, junto con el aumento de inteligencia de los mismos, implicará una capacidad de procesamiento de todas estas máquinas que proporcionarán a los atacantes que deseen utilizarlas gran potencia para realizar acciones ilícitas. Además, tener un gran número de máquinas dentro de un sistema siempre supone un reto, como ya hemos comentado, para realizar la configuración o segmentación de las redes de forma segura, controlando los servicios activos en cada una de las mismas y evitando que dispositivos críticos tengan accesos indebidos.

Tras lo comentado anteriormente, se pueden definir diferentes vectores de ataque, que aunque sean los mismos de los que ya se tiene constancia en los actuales sistemas de operación, al ser la superficie de exposición de los entornos industriales mayor por el aumento de tecnologías en sus sistemas, la posibilidad de sufrir un ciberataque se multiplica.

Para poder evitar estos ataques es necesario tener en cuenta las siguientes pautas entre otras:

  • Lo primero de todo es realizar un inventario de los nuevos activos de la empresa tomando como alcance los que afecten en concreto al sistema de control industrial elegido. Una vez identificados estos activos se clasificarán en base a su importancia y al riesgo que supone un ataque a los mismos.
  • Tras la detección de los activos más importantes, una buena segmentación de la red que incorpore elementos de seguridad como son los cortafuegos, IDS, IPS o diodos de datos si fuese necesario, evitarán accesos indebidos al sistema y en el caso de que esto ocurra, supondrá una gran barrera para el atacante a la hora de poder lograr alcanzar sus objetivos. Dentro de la segmentación de red es importante poseer un sistema redundante aislado del principal para poner en marcha si fuese necesario, sobre todo en entornos industriales donde como ya se comentó anteriormente la disponibilidad y la integridad lo es todo (parada del sistema principal, ataques que generen accidentes incontrolables o perdida de la calidad, problemas de difícil detección, etc.). En caso de usar redes inalámbricas, es necesario configurar las mismas con el mayor nivel de seguridad que posean según las especificaciones de cada protocolo o incorporando medidas extra a otros niveles, evitando así accesos indebidos por redes inalámbricas.
  • La incorporación de un laboratorio de pruebas, es uno de los grandes retos dentro del mundo industrial y especialmente en Smart OT, pero será fundamental para proporcionar valor tanto para la empresa, como para la seguridad de sus sistemas. La incorporación de un nuevo dispositivo, la comprobación de parches y actualizaciones o simplemente la realización de pruebas de seguridad no supondrían tantas dificultades como existen hoy en día. 
Siguiendo las recomendaciones anteriormente nombradas, que implican notables cambios y modificaciones, se puede lograr un sistema con un nivel de protección elevado y que presentaría grandes dificultades a los diferentes atacantes cuyo objetivo sería explotar los diferentes vectores de ataque existentes para hacerse dueño y señor del sistema.

Otro aspecto que no se ha incluido anteriormente, pero que será de gran ayuda frente a los ciberataques que puede sufrir un sistema de operación industrial, es actuar como lo haría un atacante, buscando las debilidades tanto de forma externa, como de forma interna para llegar a lograr su objetivo.

A continuación se mostrarán algunas de las posibles debilidades a detectar dentro de los sistemas tanto de manera externa como de manera interna. Esta práctica nos ayudará a comprender un poco más en profundidad como actúa un atacante y nos ayudará a detectar debilidades que no serían posibles de revelar si solo nos centrásemos en una mentalidad defensiva.


Vectores de ataque originados de forma externa 
  • Algunos de los ataques más temidos en el mundo industrial, por el impacto que tienen, (pérdida de disponibilidad) son aquellos que originan denegaciones de servicio (DoS o DDoS) ya sea por inundación de paquetes o desbordamientos de búfer entre otros. 
  • La explotación de una configuración de red defectuosa, puede originar accesos indebidos desde redes externas a la red industrial. Muchos de estos accesos no requieren de un gran conocimiento en materia de ciberseguridad ya que por regla general, es posible tener acceso a la documentación de los dispositivos facilitada por los fabricantes donde se incluyen credenciales por defecto de los dispositivos, por ello es de vital importancia cambiar estas contraseñas (algunos fabricantes empiezan a forzar el cambio de contraseña tras la configuración inicial de los dispositivos). 
  • El aprovechamiento de accesos indebidos vienen dados vía inalámbrica o gracias a dispositivos poco protegidos físicamente desde donde un atacante podría acceder a otras redes pudiendo saltar entre ellas si no existiese una buena segmentación de red. 
  • Tanto las APT (Advanced Persistent Threat) como otros tipos de software malicioso no tan desarrollados, pueden suponer un gran problema para los sistemas industriales. Este problema supone un gran reto no sólo para los entornos industriales sino para muchos entornos en general, por ello y haciendo uso de las pautas de buenas prácticas anteriormente comentadas una buena segmentación puede ser clave a la hora de frenar el avance de una amenaza persistente que busque objetivos concretos. 
  • El uso de ransomware por parte de atacantes es una de las técnicas más utilizadas hoy en día no sólo en entornos industriales sino en más entornos donde la información es de gran valor y por ello una restricción de acceso a la misma supone un gran problema. En el caso de sistemas industriales el acceso a un histórico o la configuración de un buen SIEM proporciona un gran flujo de datos que pueden ser analizados en busca de mejoras para optimizar la productividad. La pérdida de estos datos supondría un gran problema para cualquier sistema industrial. 

Ataques originados de forma interna

  • Empleados descontentos con conocimiento de información sensible del sistema o por otro lado, empleados con poca formación en materia de ciberseguridad (uso indebido de dispositivos USB, descargas procedentes de páginas indebidas, correos que contienen phishing, etc.). 
  • Fuga de información que proporcione información sensible a gente externa a la empresa (localización de dispositivos estratégicos, versiones de software utilizado, credenciales a entornos de acceso público por Internet, etc.) 
  • Todos los ataques comentados anteriormente de forma externa pueden originarse de forma interna. 

Algunos de los incidentes más conocidos dentro del mundo industrial que han utilizado software malicioso de gran complejidad y desarrollado con objetivos concretos (Stuxnet, Duqu, Flame, Dragonfly) y otros muchas más, se podrían haber detectado e incluso evitado mediante el uso de unas buenas prácticas.

Como resumen a este artículo, se puede destacar que la llegada de Smart OT proporcionará grandes ventajas a los entornos industriales, pero no podemos olvidar incluir la ciberseguridad en estos sistemas que operan sobre el mundo físico y donde un incidente de ciberseguridad puede tener un gran impacto.

Aarón Flecha
Consultor de ciberseguridad industrial (S21sec)

No hay comentarios :

Publicar un comentario en la entrada