Exploración longitudinal y transversal de puntos de ciberataques e identificación de contramedidas en ciberseguridad para entornos OT/IT
Prof. Dr. Javier Areitio Bertolín – E.Mail: jareitio@deusto.es. Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas
02/12/2019La ciberseguridad para entornos OT/IT incluye las siguientes etapas:
a) Escanear vulnerabilidades. Permite identificar nuevas vulnerabilidades y bloquear las vulnerabilidades conocidas (utilizando parches-actualizaciones). Se compone de:
i. Definir políticas para establecer una infraestructura OT/IT segura de acuerdo con los marcos del buen gobierno y los códigos y protocolos de buenas prácticas.
ii. Descubrir y catalogar todos los activos (fase de descubrimiento incluidos las APPs de los móviles de los empleados/directivos) sin importar donde residen dentro de la organización, en el perímetro o fuera de la organización (deslocalización geográfica) por ejemplo en la cloud/edge/fog computing.
iii. Valoración automatizada de la ciberseguridad en curso para todos los sistemas OT/IT y aplicaciones Web, etc.
b) Planear y simular ciber-amenazas. Posibilita identificar todos los caminos de ciberataques probables-posibles a los activos vulnerables. Se compone de:
i. Descubrir y hacer el perfil de la red, Web y puntos finales destinos.
ii. Revelar todos los caminos de ciber-ataques que exponen los activos OT/IT.
iii. Identificar exploits que pueden utilizar los ciber-atacantes (incluidos los scripts maliciosos en ficheros como.doc, .ppt, etc.).
c) Replicar ciber-amenazas. Permite validar la explotabilidad de las vulnerabilidades a lo largo de los caminos de los ciberataques. Se compone de:
i. Red. Determinar exploits de vulnerabilidades y contraseñas débiles.
ii. Web. Verificar exposiciones a ciber-ataques como SQL-injection y CSS/XSS (Cross-Site-Scripting) tanto antes como después de que las aplicaciones operen.
iii. Puntos finales. Evaluar la formación-habilidades-concienciación-competencias frente a los ciber-ataques de phishing, las defensas de los puntos finales (smartphones, tablets, servidores, controladores SCADA, PLCs, etc.)
d) Dashboard e informes. Permite la identificación de los ciber-riesgos y realizar la trazabilidad del progreso de la gestión de vulnerabilidades a lo largo del tiempo. Se debe seguir la pista de las actividades de valoración de riesgos extremo a extremo desde el escaneo para modelizar y testear. Se deben proporcionar métricas claves en relación a la postura de ciberseguridad del mundo físico real. Se debe seguir la pista de la efectividad de la gestión de vulnerabilidades a lo largo de toda la organización y visualizar cómo los ciber-ataques pueden aprovecharse de múltiples vulnerabilidades para alcanzar los activos críticos OT/IT.
Se compone de:
i. Dashboard. A su vez se pueden identificar:
1. Ejecutivo. Permite monitorizar la postura de ciberseguridad global e instruir los detalles accionables para informar a los que toman las decisiones.
2. Test. Permite configurar y ejecutar campañas de valoración de ciberseguridad.
3. Campañas específicas. Permite obtener información en profundidad sobre el estado y los resultados de campañas específicas.
ii. Informes. A su vez se pueden identificar:
1. Ejecutivos. Permiten identificar exposiciones claves, ver cambios en la postura del riesgo y determinar donde enfocarse en recursos.
2. Validación de vulnerabilidades. Permiten identificar las vulnerabilidades explotables a partir de los resultados del escaneo importado.
3. Campañas. Permiten obtener detalles completos de los caminos de ataques identificados, activos comprobados y vulnerabilidades confirmadas (añadir registros de auditoría de las actividades de valoración).
4. Observar variaciones. Permiten comparar resultados antes y después de aplicar los remedios adecuados.
5. Detectar tendencias. Permiten seguir la pista de las valoraciones de ciberseguridad con el tiempo.
e) Remedio de vulnerabilidades y revaloración (repetición de los test). Se trata de proporcionar la información necesaria para rápidamente tratar posibles exposiciones y facilitar la confirmación de que los parches y actualizaciones son efectivos. Se compone de:
i. Obtener información de la toma de medidas y acción para remedio efectivo.
ii. Priorizar exposiciones y optimizar la asignación de recursos.
iii. Repetir las comprobaciones (test) para confirmar que los ciber-riesgos se han eliminado.
Exploración de puntos de ciberataques. Identificación de contramedidas
Los puntos de ciberataques, debilidades o vulnerabilidades pueden clasificarse atendiendo a diversos criterios, como, por ejemplo:
1) Vulnerabilidades relacionadas con la gobernanza de la ciberseguridad, las políticas y los procedimientos. En esta categoría se pueden identificar:
a. Deficiencias en gobernanza de la ciberseguridad. La gobernanza de la ciberseguridad consiste en gobernar, controlar, coordinar, liderar y dirigir la ciberseguridad hacia los objetivos establecidos (quien y cómo se establecen aquí podemos identificar vulnerabilidades). Se necesita alguna forma de gobierno para ejecutar la gobernanza, por ejemplo, vía sistemas formales. La gobernanza de la ciberseguridad integra estrategias, gestión del riesgo, marcos de gobierno y control, cultura de la ciberseguridad, cumplimiento normativo, regulatorio, legal, basado en códigos-protocolos de buenas prácticas, etc.
b. Ausencia o deficiencias en guías de implantación de equipos. Las guías de implantación de equipos deberían actualizarse y estar disponibles rápidamente. Estas guías son una parte integral de los procedimientos de ciberseguridad en el caso de posible malfuncionamiento de un sistema IT u OT.
c. Carencia de mecanismos administrativos para aplicar políticas de ciberseguridad. El personal responsable de aplicar ciberseguridad debería ser responsable de administrar políticas y procedimientos de ciberseguridad documentados.
d. Revisión inadecuada de la efectividad de los controles de ciberseguridad. Deberían existir procedimientos y planificaciones para determinar la extensión a la que el programa de ciberseguridad y sus controles constituyentes están correctamente implementados, operando como se desea y produciendo el resultado deseado con respecto a los requisitos de ciberseguridad planeados para el sistema IT/OT. El examen se suele denominar auditoría, evaluación, o valoración. La política debería tratar la etapa del ciclo de vida, propósito, conocimientos técnicos, metodología y nivel de independencia.
e. Política de ciberseguridad inadecuada para el sistema IT/OT. Las vulnerabilidades normalmente se introducen en un sistema IT/OT debido a políticas inadecuadas o carencia de políticas específicamente para ciberseguridad de sistemas IT u OT (sistemas de control). Cada contramedida debería seguir la pista a una política. Esto asegura uniformidad y responsabilidad. La política debe incluir todo tipo de dispositivos: móviles, portables, pendrives, etc. utilizados con los sistemas IT/OT.
f. Formación y programa de concienciación en ciberseguridad para sistemas IT/OT no formal. Se debe contar con una política y programa de formación y concienciación en ciberseguridad formal documentado para mantener al personal actualizado en políticas y procedimientos de ciberseguridad para la organización, así como en ciber-amenazas, estándares de ciberseguridad IT/OT-industrial y prácticas recomendadas. Sin formación en políticas y procedimientos específicos IT/OT no puede esperarse que el personal mantenga un entorno IT/OT seguro.
g. Carencia de redundancia en componentes críticos. La carencia de redundancia en componentes críticos (servidores, enlaces, PLCs, controladores SCADA, etc.) puede proporcionar un único punto de posibles fallos (por ataque, troyano hardware, avería fortuita/provocada, obsolescencia programada, etc.).
h. Carencia de política de gestión de configuración. La carencia de política y procedimientos para la gestión del cambio de configuración puede conducir a un inventario muy vulnerable y no gestionable de hardware, firmware y software.
i. Carencia de política de autenticación adecuada. Son necesarias políticas de autenticación para definir cuando deben utilizarse los mecanismos de autenticación (por ejemplo, contraseñas, PINes, tarjetas inteligentes, biometría, geolocalización, fecha e instante de tiempo, etc.), cómo de fuertes deben ser y cómo deben mantenerse. Sin política de autenticación los sistemas pueden no tener controles de autenticación apropiados, haciendo más probable el acceso no autorizado a los sistemas. Las políticas de autenticación deberían desarrollarse como parte de un programa de ciberseguridad IT/OT global teniendo en cuenta las capacidades del sistema IT/OT y su personal para manipular contraseñas más complejas y otros mecanismos (como tecnología ZK).
j. Carencia de política de control de acceso adecuada. La aplicación del control de acceso depende de la política que modeliza correctamente roles, responsabilidades y autorizaciones. El modelo de política debe establecer la forma en que la organización funciona (sus objetivos, etc.).
k. No existencia de plan de contingencias específico para sistema IT/OT-Industriales-CPS-ICS. Debería preparase, verificarse y disponer de un plan de contingencia en el caso de un fallo software, firmware o hardware importante o destrucción de infraestructuras. La carencia de un plan específico para el sistema IT/OT puede conducir a la pérdida de producción, tiempos de caída excesivos, ataques al medio ambiente, etc.
l. Inadecuados planes y procedimientos de detección y respuesta a ciber-incidentes. Son necesarios los planes, procedimientos y métodos de detección y respuesta a ciber-incidentes, minimizando la pérdida y destrucción, preservando las ciber-evidencias para un examen forenses posteriores, mitigando las debilidades que fueron explotadas y restaurando los servicios del sistema IT/OT-industrial. El establecer una capacidad de respuesta a ciber-incidentes con éxito incluye monitorizar continuamente anomalías, priorizar el manejo de ciber-incidentes e implementar métodos efectivos de recoger, analizar e informar datos.
2) Vulnerabilidades relacionadas con el diseño y la arquitectura. En esta categoría se pueden identificar:
a. Recogida inadecuada de la historia de datos de eventos. El análisis ciber-forense depende de la recogida y retención de suficientes datos y metadatos. Sin una recogida de datos adecuada y precisa puede ser imposible determinar la causa raíz (qué causó que ocurriera un ciber-incidente). Los ciber-incidentes pueden ir sin notificación, conduciendo a daño adicional y/o interrupción. También es necesaria la monitorización de ciberseguridad continua para poder identificar problemas con los controles de ciberseguridad como, por ejemplo, configuraciones incorrectas y fallos.
b. Incorporación inadecuada de ciberseguridad en la arquitectura y el diseño. Incorporando la ciberseguridad en la arquitectura del sistema IT/OT el diseño debe comenzar con un presupuesto y la planificación del sistema IT/OT. La arquitectura de ciberseguridad es parte de la arquitectura de la organización. La arquitectura debe tratar la identificación y autorización de los usuarios y entidades, el mecanismo de control de acceso, las topologías de red y los mecanismos de integridad y configuración del sistema.
c. Permitir desarrollar arquitecturas inseguras. El entorno de infraestructura de red dentro del sistema IT/OT frecuentemente se desarrolla y modifica en base a los requisitos de negocios y operacionales con muy poca consideración de los impactos en ciberseguridad potenciales de los cambios. Con el tiempo las deficiencias o carencias en ciberseguridad pueden haber sido introducidos inadvertidamente dentro de porciones concretas de la infraestructura. Sin mecanismos de remedio, estas carencias pueden representar puertas traseras en el sistema IT/OT.
d. Perímetro de ciberseguridad no definido. Si el sistema IT/OOT no tiene un perímetro de seguridad claramente definido, entonces no es posible asegurar que los controles de seguridad necesarios se desplieguen y configuren adecuadamente. Esto puede conducir a accesos no autorizados a sistemas y datos, así como a otros posibles problemas.
e. Servicios de red de control no dentro de la red de control. Donde los servicios IT como DNS (Domain Name System) y DHCP (Dynamic Host Configuration Protocol) los utilizan las redes de control, a menudo son implementados en la red IT, causando que la red del sistema de control dependa de la red IT que puede no tener los requerimientos de disponibilidad y fiabilidad necesarios por el sistema OT de control industrial (ICS).
f. Redes de control utilizadas para tráfico que no es de control. Los tráficos de control y los que no son de control tienen diferentes requerimientos como determinismo y fiabilidad de modo que tener ambos tipos de tráfico en una única red hace más difícil configurar la red para que pueda satisfacer los requerimientos del tráfico de control (OT). Por ejemplo, el tráfico que no es de control puede inadvertidamente consumir recursos que necesita el tráfico de control, causando ralentización inadmisible e interrupciones en las funciones del sistema OT-control industrial (ICS-Industrial Control Systems).
3) Vulnerabilidades relacionadas con el mantenimiento y la configuración. En esta categoría se pueden identificar:
i. Utilizar configuraciones débiles. Los sistemas configurados inadecuadamente pueden dejar abiertos puertos y protocolos innecesarios, estas funciones innecesarias pueden contener vulnerabilidades que aumentan el riesgo global del sistema. El utilizar configuraciones por defecto a menudo pone vulnerabilidades y servicios explotables. Se deberían examinar todas las configuraciones existentes.
ii. Utilizar software, firmware y hardware no bajo gestión de la configuración. La organización no sabe qué activos (APPs, dispositivos, etc.) tiene, qué versiones posee, dónde se encuentran o cuál es su estado de actualizaciones y parches, esto da lugar a una postura de defensa inconsistente e inefectiva. Debería implantarse un proceso para controlar modificaciones de hardware, firmware, software y documentación para posibilitar que el sistema IT/OT-control industrial este protegido contra modificaciones inadecuadas o impropias antes, durante y después de la implementación del sistema. Una carencia de procedimientos de gestión de cambios de configuración puede conducir a omisiones de ciberseguridad, exposiciones y riesgos. Para poder proteger adecuadamente un sistema IT/OT debería existir un listado preciso de los activos del sistema y sus configuraciones corrientes. Estos procedimientos son críticos a la hora de ejecutar planes de continuidad de negocios, contingencias y de recuperación de desastres.
iii. Inadecuada comprobación de cambios de ciberseguridad. Las modificaciones de hardware, firmware y software desplegadas sin una verificación o test pueden comprometer el funcionamiento normal del sistema IT/OT. Deberían desarrollarse procedimientos documentados para comprobar (test) todos los cambios con impacto en la ciberseguridad. Los sistemas operacionales vivos nunca deberían utilizarse para la verificación. La verificación de modificaciones del sistema puede necesitar estar coordinadas con los fabricantes e integradores de los sistemas.
iv. Controles de acceso remoto débiles. Existen muchas razones por las que un sistema IT/OT puede necesitar acceso remoto, por ejemplo, para que los fabricantes e integradores de sistemas realicen funciones de mantenimiento del sistema (por ejemplo, actualizaciones y parches) y también para el acceso de ingenieros IT/OT que accedan a componentes del sistema geográficamente remotos. Las capacidades de acceso remotas deben ser controladas adecuadamente para prevenir que individuos no autorizados obtengan acceso al sistema IT/OT (por ejemplo, una salvaguarda útil son los túneles de cifrado extremo a extremo VPN con cliente e IPSec).
v. Inadecuados controles de acceso aplicados. Los controles de acceso deben hacerse corresponder con la forma en que la organización asigna responsabilidades y privilegios a su personal. Controles de acceso especificados deficientemente pueden conducir a dar a un usuario de un sistema IT/OT demasiados o pocos privilegios. Tener en cuenta que: (a) Un sistema configurado con los valores de configuración de control de acceso por defecto dan a un operador privilegios administrativos. (b) Un sistema incorrectamente configurado da lugar a que un operador no pueda tomar acciones correctivas en una situación de emergencia.
vi. Protección malware no instalado o no actualizado. Un ciber-ataque común es la instalación de software malicioso o malware. El software de protección anti-malware, como un software antivirus debe mantenerse actualizado en un entorno muy dinámico. El software de protección anti-malware desactualizado deja al sistema abierto a nuevas ciber-amenazas de malware. El proceso de actualización manual o automatizado anti-malware consta de tres fases buscar, descargar e instalar-aplicar.
vii. Generación, utilización y protección de contraseñas no esta de acuerdo con la política. La experiencia en el uso de contraseñas que existe en sistemas IT es aplicable a sistemas OT-sistemas de control. Se deben seguir para que las políticas y procedimientos de contraseñas sean efectivas. Las violaciones de la política y procedimientos en contraseñas pueden aumentar de forma importante las vulnerabilidades en sistemas IT/OT.
viii. Datos no protegidos en dispositivos portables. Si se almacenan en claro datos sensibles (por ejemplo, contraseñas, números secretos) en dispositivos portables como PCs y dispositivos móviles y estos dispositivos se pierden o roban, la ciberseguridad del sistema puede comprometerse. Se requieren para protección política, procedimientos y mecanismos.
ix. Las configuraciones críticas no se almacenan o se guardan en backups redundantes protegidos. Deberían estar disponibles procedimientos para la restauración de información de configuración de sistemas IT/OT en el caso de cambios de configuración accidentales o iniciadas por ciber-atacantes para mantener disponibilidad de sistemas y prevenir pérdida de datos. Deberían desarrollarse procedimientos documentados para mantener los valores de la configuración de los sistemas IT/OT.
x. No se mantienen los parches de ciberseguridad de sistemas operativos y aplicaciones o bien el fabricante declina parchear vulnerabilidades. Los sistemas operativos y aplicaciones desactualizados pueden contener vulnerabilidades nuevas descubiertas y 0-day que pueden explotarse. Deberían desarrollarse procedimientos documentados para cómo mantener los parches de ciberseguridad. El soporte de parches de seguridad puede incluso no estar disponible para sistemas IT/OT que utilizan sistemas operativos muy antiguos (Windows Vista), de modo que los procedimientos deberían incluir planes de contingencias para mitigar vulnerabilidades donde los parches nunca puedan estar disponibles.
xi. Los parches de software y de sistemas operativos no se desarrollan hasta mucho tiempo después de encontrarse las vulnerabilidades de ciberseguridad. Debido al fuerte acoplamiento entre software de sistema IT/OT y el sistema subyacente IT/OT los cambios deben someterse a test de regresión exhaustivos caros y que consumen tiempo. El tiempo transcurrido para tales test y la distribución subsiguiente del software actualizado proporciona una gran ventana de vulnerabilidad.
xii. Inadecuada conexión de datos. Los sistemas de almacenamiento de datos IT/OT pueden estar conectados con fuentes de datos no-IT/no-OT. Un ejemplo de esto son las conexiones a bases de datos, que permiten a los datos de una base de datos replicarse automáticamente en otras. La conexión de datos puede crear vulnerabilidades si no se configura adecuadamente y puede permitir acceso o manipulación a datos de forma no autorizada.
xiii. DoS (Denial of Service). El software de sistemas IT/OT puede ser vulnerable a ciber-ataques de denegación de servicios o DoS, dando lugar a que se impida o ralentice el acceso autorizado a los recursos del sistema o se retarde las operaciones y funciones del sistema.
xiv. Logs no mantenidos. Sin logs adecuados y precisos puede ser imposible determinar qué causó que ocurriese un evento de ciberseguridad. Es fundamental implantar herramientas SIEM y servidores syslog protegidos.
xv. Protección malware implementada sin suficiente verificación. El software de protección anti-malware desplegado sin una verificación suficiente puede impactar en la operación normal del sistema IT/OT y bloquear el sistema para que realice las acciones de control necesarias.
xvi. Software de detección/prevención de intrusiones no instalado. Los ciber-incidentes pueden dar lugar a la pérdida de la disponibilidad e integridad del sistema, la captura, modificación y borrado de datos y la ejecución incorrecta de comandos de control. El software IDS/IPS puede detener o prevenir varios tipos de ciber-ataques, incluyendo los ataques DoS y también identifica los computadores internos atacados por ejemplo aquellos infectados con gusanos, virus y otros tipos de malware. El software IDS/IPS debe ser verificado antes de desplegarlo para determinar que no comprometa el funcionamiento normal del sistema IT/OT.
4) Vulnerabilidades físicas. En esta categoría se pueden identificar:
a. Puertos físicos no seguros. Los puertos USB (Universal Serial Bus) y PS/2 inseguros pueden permitir conexión no autorizada de unidades de memoria maliciosas, key-loggers, etc.
b. Carencia de mecanismos de respaldo para la energía eléctrica. Sin fuentes de alimentación eléctrica de respaldo a activos críticos una pérdida general de electricidad apagará el sistema IT/OT y puede crear una situación insegura. La pérdida de electricidad puede conducir también a configuraciones por defecto inseguras. Como contramedidas incluir unidades UPS/SAI con grupos electrógenos y onduladores.
c. Personal no autorizado tiene acceso físico al equipamiento. Debería restringirse el acceso físico al equipamiento de sistemas IT/OT sólo al personal necesario, teniendo en cuenta requisitos de seguridad como paradas de emergencia o rearranques. El acceso indebido al equipamiento de sistemas IT/OT puede conducir a cualquiera de las siguientes situaciones: (i) Robo físico de datos y hardware. Soluciones técnicas, mantrap y bisagras que se bloqueen cuando la puerta se ha cerrado. (ii)Daño físico o destrucción de datos y hardware. (iii) Cambios no autorizados del entorno funcional (por ejemplo, conexiones de datos, uso no autorizado de medios removibles, por ejemplo, USB, añadir/reemplazar/eliminar recursos. (iv) Desconexión de enlaces de datos físicos. (v) Interceptación no detectable de datos (pulsaciones de teclas vía keylogger software o hardware y logging de entrada).
d. RF (Radio Frequency), EMP (ElectroMagnetic Pulse), descargas estáticas masivas y picos de voltaje ultra altos. El hardware utilizado por los sistemas IT/OT es vulnerable a emisión masiva de radio-frecuencia, impulsos electromagnéticos, descargas estáticas, picos de tensión, inhibidores de RF, generadores de interferencias EM y jamming, radiaciones gamma, explosiones de bombas de neutrones, etc. El impacto puede ser desde una interrupción temporal de comandos y control a un daño permanente de las tarjetas de circuitos. Se recomienda el adecuado apantallamiento electromagnético, las tomas de tierra, el acondicionamiento de la alimentación eléctrica con filtros para el caso de tormentas eléctricas, la supresión de extracorrientes, etc.
e. Pérdida del control medioambiental. La pérdida del control medioambiental (por ejemplo, temperatura, humedad, presión, nivel del fluido, ph del fluido, nivel de campo eléctrico-magnético, etc.) puede conducir al daño de equipos como procesadores sobrecalentados. Algunos procesadores se apagarán para protegerse. Algunos pueden continuar funcionando, pero a una capacidad mínima y pueden producir errores intermitentes, rearranques continuos o queden incapacitados permanentemente. Así mismo, en procesos de ICS pueden generar desastres medio-ambientales y a seres humanos.
5) Vulnerabilidades relacionadas con el desarrollo software-firmware. En esta categoría se pueden identificar:
i. Capacidades de ciberseguridad instaladas no permitidas por defecto. Las capacidades de ciberseguridad que fueron instaladas con el producto son inútiles si no se habilitan o al menos se identifican que son inhabilitadas.
ii. Inadecuada autenticación, privilegios y control de acceso en el software. El acceso no autorizado al software de configuración y programación puede proporcionar la capacidad para dañar o corromper un dispositivo.
iii. Inadecuada validación de los datos. El software de sistemas IT/OT-sistema de control industrial puede no validar adecuadamente las entradas de los usuarios o los datos recibidos para asegurar su validez. Los datos inválidos pueden dar lugar a numerosas vulnerabilidades, por ejemplo: buffer overflows, inyecciones de comandos (por ejemplo: SQL-Injection), CSS (Cross-Site-Scripting), path-traversals, desastres ciberfísicos, etc.
6) Vulnerabilidades relacionadas con la configuración de red y las comunicaciones. En esta categoría se pueden identificar:
a. Carencia de comprobaciones de integridad en las comunicaciones. No existen comprobaciones de integridad integradas en la mayor parte de los protocolos de control industrial, los ciberatacantes pueden manipular las comunicaciones sin ser detectadas. Para asegurar la integridad el sistema IT/OT debe utilizar protocolos de capas más bajas (por ejemplo, IPSec en L3) que proporcionan protección de la integridad de los datos.
b. La autenticación de usuarios, datos o dispositivos es deficiente o no existente. Muchos protocolos de sistemas IT/OT no tienen autenticación en ningún nivel (como contramedida usar autenticación multifactor de tipo mutua y basada en tecnología ZK). Sin autenticación existe el potencial de repeticiones, modificaciones o falsificación de datos o de dispositivos hardware como sensores, cámaras de video-vigilancia e identidades de usuarios. Como contramedida-salvaguarda para hacer frente a la suplantación del hardware e introducir troyanos hardware implantar tecnología PUF.
c. Controles de flujo de datos no empleados. Los controles de flujo de datos basados en características de datos son necesarios para restringir que información se permite entre sistemas. Estos controles pueden prevenir exfiltración de información y operaciones ilegales.
d. Inadecuada protección de datos entre clientes inalámbricos y puntos de acceso. Deberían protegerse los datos sensibles entre clientes inalámbricos y puntos de acceso utilizando cifrado robusto (por ejemplo, vía tecnología VPN con o sin cliente) para asegurar que los ciber-atacantes no puedan obtener acceso no autorizado a los datos no cifrados.
e. No existencia de firewalls o incorrectamente configurados. Una carencia de firewalls correctamente configurados puede permitir que datos innecesarios pasen entre redes tales como redes corporativas (IT) y redes de control industrial (OT) permitiendo ciberataques y que el malware se extienda entre las redes, haciendo que los datos sensibles sean susceptibles de monitorización y escuchas clandestinas y proporcionando a los individuos acceso no autorizado a los sistemas.
f. Inadecuada autenticación entre clientes inalámbricos y puntos de acceso. Se necesita autenticación mutua robusta multi-factor entre clientes inalámbricos y puntos de acceso para asegurar que los clientes no se conecten a puntos de acceso anómalos-maliciosos desplegados por ciber-atacantes y también asegura que los ciber-atacantes no se puedan conectar a ninguna de las redes inalámbricas del sistema IT/OT.
g. Uso de protocolos de sistemas OT/IT inseguros. Los protocolos de sistemas IT/OT frecuentemente tienen pocas o ninguna, capacidades de ciberseguridad, como por ejemplo autenticación y cifrado para proteger los datos de accesos o modificaciones no autorizadas o ilegales. Además, la implementación incorrecta de protocolos basados en algoritmos robustos (AES, 3DES, IDEA, ECC, etc.) puede conducir a vulnerabilidades adicionales.
h. Inadecuados logs de firewalls y routers. Sin logs adecuados y precisos puede ser imposible determinar qué causó que ocurriera un ciber-incidente.
i. Protocolos de comunicaciones bien documentados, estándar se utilizan en texto en claro. Los ciber-atacantes que pueden monitorizar la actividad de una red IT u OT pueden utilizar un analizador de protocolos, un sniffer u otros dispositivos para decodificar los datos transferidos por protocolos tales como Telnet, SNMP, FTP, HTTP, NFS, etc. El uso de dichos protocolos también hace más fácil a los ciber-atacantes realizar ciber-ataques contra el sistema IT u OT/ICS/CPS y manipular la actividad de la red IT u OT.
7) Vulnerabilidades relacionadas con las aplicaciones. En esta categoría se pueden identificar como principales contramedidas o salvaguardas:
a. Criptografía. Como controles y/o técnicas de protección que la aplicación debería utilizar: Utilizar adecuadamente la criptografía para proteger la confidencialidad e integridad de datos y mensajes generados por las aplicaciones. Como principales ciber-amenazas se pueden identificar la débil generación de claves criptográficas, la deficiente gestión de claves criptográficas, el cifrado débil o a medida, una implementación defectuosa de los algoritmos de criptográficos, etc. En criptografía nos encontramos con cifradores/descifradores, generadores y verificadores de firmas digitales convencionales y a ciegas, generadores de números pseudoaleatorios, funciones hash y MAC, protocolos criptográficos, etc.
b. Validación de las entradas. Como controles y/o técnicas de protección que la aplicación deberían utilizar: las aplicaciones deben realizar controles en sus entradas, comprobaciones de tipo, léxico y sintácticos, integridad de la entrada, origen de la entrada (por ejemplo, para saber de dónde viene un usuario válido). Como posibles ciber-amenazas buffer overflow, CSS/XSS (Cross-Site Scripting), inyección SQL, canonización.
c. Autorización. Como controles y/o técnicas de protección que la aplicación debería utilizar: Las aplicaciones deben verificar que los usuarios que piden pueden legítimamente acceder/utilizar los recursos que solicitan. Cómo posibles ciber-amenazas la elevación de privilegios, la revelación de datos confidenciales, la alteración de datos, los ciber-ataques basados en la atracción.
d. Autenticación. Como controles y/o técnicas de protección que la aplicación debería utilizar: comprobaciones de autenticación de entidad (la aplicación debe autenticar adecuadamente al emisor de los datos de entrada. Las aplicaciones deben autenticar a los usuarios). Como posibles ciber-amenazas, las escuchas clandestinas de red, el análisis de tráfico cifrado, los ataques por fuerza bruta, los ataques de diccionario, la repetición de cookies, el robo de credenciales, etc.
e. Gestión de configuración. Como controles y/o técnicas de protección que la aplicación debería utilizar: Las aplicaciones deberían ejecutarse con el mínimo de privilegios necesitados. Determinar si las aplicaciones se conectan a la base de datos adecuada. Si la aplicación utiliza sus propios datos de configuración determinar si están almacenados y se acceden de forma segura. Como posibles ciber-amenazas, el acceso no autorizado a interfaces de administración, el acceso no autorizado a almacenamientos de configuración, la recuperación de datos de configuración en texto en claro, la carencia de responsabilidad individual y trazabilidad, proceso y cuentas de servicio con sobre-privilegios.
f. Auditoría y logging. Como controles y/o técnicas de protección que la aplicación debería utilizar: La aplicación debe mantener un registro de quién hizo qué. Como posibles ciber-amenazas el usuario deniega realizar una operación, el atacante explota una aplicación sin trazabilidad, el atacante cubre sus rastros.
g. Datos sensibles. Como controles y/o técnicas de protección que la aplicación debería utilizar: Si la aplicación gestiona datos sensibles. La aplicación debe utilizar las técnicas adecuadas para proteger la confidencialidad e integridad de los datos en tránsito y de los datos almacenados. Como posibles ciber-amenazas, el acceso a datos sensibles en almacenamientos, las escuchas clandestinas de red, la alteración de datos.
h. Manipulación de parámetros. Como posibles ciber-amenazas la manipulación query-string, la manipulación del campo del formulario, la manipulación de cookies, la manipulación de la cabecera HTTP.
i. Gestión de excepciones. Como controles y/o técnicas de protección que la aplicación debería utilizar: La aplicación no debe fallar desde el punto de vista de la ciberseguridad. La aplicación debe gestionar adecuadamente la información de error informada al usuario para evitar fugas de información (como contramedida usar tecnología DLP). Como posibles ciber-amenazas la revelación de información, la denegación de servicios (DoS/DDoS), etc.
j. Gestión de sesiones. Como controles y/o técnicas de protección que la aplicación debería utilizar: La aplicación debe gestionar las sesiones. Las sesiones deben estar adecuadamente protegidas. Como posibles ciber-amenazas el secuestro de sesiones, la repetición de sesiones, el MITM (Man-In-The-Middle), etc.
Consideraciones finales
Las tecnologías IT (Information Technology) se utilizan en business y entornos de ofimáticos y de gestión para dar soporte a las actividades diarias como contabilidad, órdenes, recursos humanos, análisis de datos, tráfico, etc. Ejemplos de equipos y sistemas en IT son PCs, estaciones de trabajo de los usuarios, tablets, smartphones, servidores de ficheros, servidores de correo electrónico, servidores Web, bases de datos, soluciones software ERP-CRM, dispositivos de red (routers, switches, firewalls, etc.). La ciberseguridad en IT se ocupa de la confidencialidad de datos, de la integridad de los datos, de la disponibilidad del sistema, etc. Los procesos de control del cambio deben ser auto-contenidos dentro de la función IT. Cada vez es más común que los empleados utilicen sus propios dispositivos especialmente tecnología móvil para acceder a los sistemas de la organización/negocio. Se adoptan nuevas tecnologías con insuficiente preocupación en relación a la ciberseguridad. Las tecnologías OT (Operational Technology) se utilizan para monitorizar y controlar procesos en entornos industriales (ICS) donde existan sistemas ciber-fisicos (CPS) como vehículos autónomos, plantas de fabricación, factorías, refinerías, plataformas de gas y petróleo, industrias petroquímicas, industrias siderúrgicas, centrales hidroeléctricas, nucleares, térmicas, depuradoras de aguas residuales, operaciones de tratamiento de aguas para el consumo, etc. en este entorno nos encontramos con sistemas ciber-físicos o CPS (Cyber Physical Systems).
Ejemplos de equipos y sistemas en OT son PLCs (Programmable Logic Controllers), DCS (Distributed Control Systems), HMI (Human-Machine-Interface), sistemas SCADA (Supervisory Control And Data Acquisition), bases de datos históricas, PCs, convertidores de medios y protocolos. La ciberseguridad en OT se ocupa de la disponibilidad del sistema, de la integridad de los datos, de la confidencialidad de datos, etc. En ecosistemas OT la integridad y confidencialidad de datos son importantes para la lógica de los dispositivos, ficheros de configuración utilizados en aplicaciones de control.
Los cambios tecnológicos son parte del proceso de gestión del cambio global. Puede ser difícil poner fuera de servicio un equipo para actualizarlo. En OT se encuentran versiones de Windows muy antiguas para las que Microsoft ya no genera parches. Los equipos y protocolos de comunicaciones tienden a ser propietarios y puede dificultar implementar controles de ciberseguridad. La tecnología subyacente puede ser anticuada, y por tanto, más vulnerable a ciber-incidentes básicos. El entorno de equipos es casi siempre heterogéneo con dispositivos de diferentes edades y fabricantes. Algunos tipos de sistemas de control utilizados con CPS (Cyber Physical Systems) y en ICS (Industrial Control Systems) son: infraestructura de medida avanzada, sistemas de automatización en edificios, sistemas de control de gestión de edificios, sistemas de vigilancia CCTV (Closed-Circuit TeleVision), monitorización del CO2/NO2 en ventilación, sistemas de firma digital, sistemas de gestión de video digital, sistemas de seguridad electrónica, sistemas de gestión de emergencias. La disponibilidad y adopción de SDN (Software Defined Networking) en el dominio OT es una tecnología habilitadora de segmentación lógica dinámica más flexible. Herramientas de higiene en ciberseguridad son el control de acceso, la segmentación, la concienciación de la ciberseguridad de endpoints, etc.
Tecnologías como la monitorización de ciberseguridad de redes OT/ICS/CPS/IT, la detección de anomalías, el empleo de SDN, los SOC (Security Operations Centers), los DLPs, la ocultación (o cloaking) de direcciones IP de dispositivos (por ejemplo, vía tecnología NAT), etc. son cada día más útiles. La aplicación de controles adicionales de nivel (o controles de compensación) en vez de utilizar parches puede ser útil para mitigar riesgos en entornos OT como ICS con equipamiento demasiado viejo para tener paches (sería el caso de sistemas operativos antiguos como Windows NT, Vista, XP cuya vida a finalizado) y poder proporcionar medios para continuar la operación ininterumpida de las operaciones del ICS hasta que un parche o actualización puede realizarse ad-hoc.
Referencias:
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2019.
- Areitio, J. “Evolución necesaria y expansión dirigida hacia la ciberseguridad cognitiva intensiva”. Revista Eurofach. Nº 472. Noviembre 2019.
- Areitio, J.”Protección frente a la sofisticación de las armas cibernéticas”. Revista Eurofach Electrónica. Nº 466. Octubre 2018.
- Areitio, J.”Estrategias y tácticas de defensa a los intentos de intrusión y ataques en ciberseguridad-privacidad”. Revista Eurofach Electrónica. Nº 467. Diciembre 2018.
- Areitio, J.”Confluencias entre elementos, componentes y factores en la gobernanza de la ciberseguridad”. Revista Eurofach Electrónica. Nº 469. Abril 2019.
- Westcott, S. and Westcott, J.R. “Cybersecurity: An Introduction”. Mercury Learning & Information. 2019.
- Leszczyna, R. “Cybersecurity in the Electricity Sector: Managing Critical Infrastructure”. Springer. 2019.
- Blau, A., Burt, A., Groysberg, B., Yampolskiy, R.V. “Cybersecurity: The Insights You Need from Harvard Business Review”. HBR Insights Series. Harvard Business Review Press. 2019.
- Idoudi, H. and Val, T. “Smart Systems for E-Health: WBAN Technologies, Security and Applications”. Springer. 2019.
- Goyal, D., Balamurigan, A., Pemg, S, -L. and Verma, O.P. “Design and Analysis of Security Protocol for Communication”. Wiley-Scrivener. 2020.
- Musa, S.M. “Wireless Networks Technology and Cybersecurity”. Mercury Learning & Information. 2019.
- Parenty, T.J. and Domet, J.J. “A Leader's Guide to Cybersecurity: Why Boards Need to Lead and How to Do It”. Harvard Business Review Press. 2019.
- Grimes, R.A. “Cryptography Apocalypse: Preparing for the Day When Quantum Computing Breaks Today's Crypto”. Wiley. 2019.
- Enerstvedt, O.M. “Aviation Security, Privacy, Data Protection and Other Human Rights: Technologies and Legal Principles”. Springer. 2019.
- Taylor, A., Alexander, D., Finch, A. and Sutton, D. “Information Security Management Principles”. BCS, The Chartered Institute for IT. 2019.
- Smith, R.E. “Elementary Information Security”. Jones & Bartlett Learning. 2019.
- Taylor, A., Alexander, D., Finch, A. and Sutton, D. “Information Security Management Principles”. BCS, The Chartered Institute for IT. 2019.
- Smith, B. and Browne, C.A. “Tools and Weapons: The Promise and the Peril of the Digital Age”. Penguin Press. 2019.
- Andress, J. and Winterfeld, S. “Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners”. Syngress. 2013.
- Haber, M.J. and Hibbert, B. “Asset Attack Vectors: Building Effective Vulnerability Management Strategies to Protect Organizations”. Apress. 2018.
- Kosta, E., Pierson, J., Slamaning, D.I. Fisher-Hubner, S. and Krenn, S. “Privacy and Identity Management: Fairness, Accountability and Transparency in the Age of Big Data”. Springer. 2019.
- Jajodia, S., Cybenko, G., Liu, P., Wang, C. and Wellman, M. “Adversarial and Uncertain Reasoning for Adaptive Cyber Defense: Control and Game Theoretic Approaches to Cyber Security”. Springer. 2019.
La ciberseguridad en OT se ocupa de la disponibilidad del sistema, de la integridad de los datos, de la confidencialidad de datos, etc. En ecosistemas OT la integridad y confidencialidad de datos son importantes para la lógica de los dispositivos, ficheros de configuración utilizados en aplicaciones de control
Tecnologías como la monitorización de ciberseguridad de redes OT/ICS/CPS/IT, la detección de anomalías, el empleo de SDN, los SOC (Security Operations Centers), los DLPs, la ocultación (o cloaking) de direcciones IP de dispositivos (por ejemplo, vía tecnología NAT), etc. son cada día más útiles