6. Retos actuales y tendencias futuras Ciberseguridad en entornos móviles y BYOD Ciberseguridad Industrial e Industrial Internet of Things Ciberseguridad en las infraestructuras críticas Ciberseguridad en entornos cloud Francisco Javier Cervigon Ruckauer

6. Retos actuales y tendencias futuras


 Ciberseguridad en entornos móviles y BYOD
Ciberseguridad Industrial e Industrial Internet of Things
Ciberseguridad en las infraestructuras críticas
Ciberseguridad en entornos cloud

Ciberseguridad en entornos móviles y BYOD

BYOD o "Bring your own device"

Nuestro trabajo esta semana es especialmente complicado... cada una de las unidades de una hora que hemos preparado resumen contenidos a los que se podría dedicar prácticamente un curso entero. Esto ya ha pasado antes en el MOOC, pero esta semana es más crítico todavía.
Comencemos por la seguridad en entornos móviles. ¿En qué nos centramos? ¿En la seguridad de las aplicaciones, que tantos quebraderos de cabeza está dando? ¿En los sistemas operativos móviles, que han dejado la protección y la seguridad para el final para no consumir demasiada batería? ¿En el malware específico? Hemos decidido escoger como tema principal para esta unidad BYOD, ya que es algo que está obligando a los equipos de seguridad de todas las organizaciones a re-plantearse muchas cosas, y con lo que seguro vas a tener que trabajar como empleado o como responsable.
Desde hace algunos años estamos viviendo un fenómeno poco habitual en el entorno tecnológico. La tecnología más avanzada ya no está en las empresas, sino que es propiedad de los empleados

























El reto de la ciberseguridad en la era del mobile first

Se considera que el momento en el que el fenómeno BYOD apareció fue con la llegada del iPhone de Apple en 2007. Supuso toda una revolución en el ámbito de la tecnología de consumo. Los altos ejecutivos, condenados desde hacía años a terminales serios y funcionales como la BlackBerry, se encontraban con un dispositivo ligero, táctil y divertido, y quisieron llevárselo a la oficina. Desde esos momentos, la revolución de la movilidad no ha parado. Hemos observado la proliferación de smartphones y tabletas con funcionalidades avanzadas en el entorno personal de los trabajadores. A finales de 2013 se constató que había 1,4 miles de millones de smartphones en el mundo. Teniendo en cuenta que la población mundial es de unos 7 mil millones, eso quiere decir que había un smartphone por cada 5 personas en el mundo.
Esta democratización de la tecnología móvil ha ido alimentando el fenómeno BYOD y extendiéndolo a todos los niveles en la empresa. A día de hoy, los PCs son ya una parte muy pequeña de los dispositivos conectados a Internet n el entorno corporativo; los smartphones y tabletas representan un 60%.
Tanto analistas como fabricantes y organizaciones coinciden en que los programas BYOD pueden ser beneficiosos para las organizaciones. Los principales beneficios que el BYOD puede aportar a una organización son una mayor productividad(los usuarios trabajan más cómodos, contentos y a menudo más rápido con sus propios dispositivos), la mejora de la satisfacción de los empleados (pueden trabajar de forma más flexible) y la potencial reducción de costes vinculados a programas de movilidad (hay ahorros en hardware, licencias de software, telecomunicaciones y mantenimiento de dispositivos). En general, parece que cuanto más se usa BYOD, más se entiende su potencial.  El mejor acceso a la información corporativa, al poder acceder a ella en cualquier momento y lugar, puede contribuir a la mejora en la toma de decisiones. Y también existe un potencial beneficio transformativo del BYOD como habilitador de la innovación impulsada por los empleados. Al permitir que los empleados decidan la forma, el momento y las herramientas con las cuales se lleva a cabo el trabajo, las empresas pueden mejorar sus procesos o desarrollar nuevos, incluso modificando en ocasiones su modelo de negocio.
Por otro lado, el uso de los dispositivos personales normalmente va acompañado del uso de aplicaciones y servicios en la nube personales, y esto puede suponer costes potenciales para las organizaciones. Uno de ellos es el mayor ancho de banda que requieren muchas de ellas. Algunas de las aplicaciones más populares que utilizan los empleados incluyen elementos multimedia, entre ellas las redes sociales y la transmisión de servicios multimedia. La combinación de más dispositivos en la red y las aplicaciones multimedia no aprobadas pueden crear cuellos de botella, a menos que los departamentos de TI sean muy celosos acerca de su administración de la red y su planificación de recursos.
Otra área que requiere administración activa es el uso creciente de herramientas de colaboración no aprobadas. Los empleados usan cada vez más servicios de mensajería instantánea, administración de archivos, videoconferencia móvil y colaboración en la nube para complementar o incluso reemplazar a las aplicaciones de colaboración corporativas. Aunque puede ser beneficioso para los empleados usar las herramientas de colaboración de su preferencia, especialmente si las ofrecidas son limitadas o inadecuadas, pero existe un potencial para la generación de “islas” de colaboración que excluyan a otras personas de forma inadvertida. Es vital que las empresas garanticen que las herramientas de colaboración no aprobadas se integren a la mensajería instantánea corporativa, los directorios corporativos, el software social corporativo y las herramientas de colaboración de vídeo para evitar la creación de estas “islas”.
El BYOD se lo está poniendo difícil al departamento de TI. Según una encuesta a profesionales de TI del año pasado, de entre las compañías que permiten el uso de dispositivos personales en sus redes, una aplastante mayoría del 93% indica que cuando los empleados usan su propio smartphone, tableta u otro dispositivo para trabajar con información vinculada a la empresa, esto les genera problemas. El principal reto al que se enfrentan las áreas de TI al adoptar programas BYOD es, según el 67% de los participantes en la encuesta, la seguridad de la información corporativa. La información de una organización está tan segura como lo esté el más débil de sus elementos, y ahora los dispositivos personales se han convertido en el eslabón más débil de la cadena.
No es de extrañar que la ciberseguridad sea una preocupación. Según muestra otra reciente encuesta, la concienciación entre los usuarios sobre la necesidad de tomar precauciones de seguridad en los dispositivos móviles es muy baja: el 52% de los participantes llevaba encima regularmente un dispositivo móvil con información sensible del trabajo y el 61% de los que usan su dispositivo para trabajar no usan una contraseña de protección. Teniendo en cuenta que, además, el 27% afirmaba haber perdido hasta tres dispositivos de empresa, es comprensible la preocupación de los responsables de TI por proteger la información corporativa.
Cuando se accede a información corporativa desde dispositivos personales el riesgo de fuga de datos es especialmente acentuado debido a, por ejemplo:
    • La pérdida o robo de dispositivos que ni siquiera usan contraseña.
    • Los virus y otros tipos de malware.
    • La fuga de datos entre aplicaciones móviles.
El 100% de las 100 principales apps de pago Android y el 56% de las Apple iOS han sido hackeadas. Las aplicaciones gratuitas no están fuera de peligro, el 73% de las Android y el 53% de las iOS han sido hackeadas también. Las aplicaciones pueden haber sido manipuladas para incluir malware, o para, a través de ingeniería inversa o de-compilación, analizar el código y preparar ataques dirigidos a la lógica o datos de negocio. Según el último Informe de Amenazas de Seguridad de Internet elaborado por Symantec, el 32% del malware móvil tiene como objetivo el robo de información.
Otro riesgo que se ve incrementado por el uso de BYOD es el de las intrusiones en la red corporativa. De nuevo las causas pueden ser la pérdida o robo de dispositivos, el malware o el uso de conexiones de red inseguras (típicamente, la Wi-Fi de un hotel o de otro espacio público, ya lo hemos hablado antes en este MOOC).





Actividades realizadas por el malware de móviles
Actividades realizadas por el malware de móviles
Según el mismo informe de Symantec, en 2012 el 93% de las vulnerabilidades publicadas eran de la plataforma iOS. Sin embargo, Android domina el entorno del malware con un 97% de las nuevas amenazas en el mismo año.
Sin embargo, hay otros riesgos que pocas empresas llegan a plantearse, pero que también acarrean los programas BYOD. Son los legales, de cumplimiento de normativas y de regulación, especialmente en lo referente a la privacidad. La línea divisoria entre gestionar un dispositivo de un usuario e invadir su privacidad personal es muy difusa. Además, si los usuarios descargan datos personales de clientes en los dispositivos, la organización deja de tener control sobre donde están los datos que tiene obligación de proteger y las copias que se han podido hacer.
Desde el punto de vista legal no todos los aspectos de traer de casa la tecnología están cubiertos. Hay muchos asuntos legales vinculados a BYOD que aún no tienen resolución. Esto deja en manos del área de TI la tarea de definir una estrategia global de BYOD que permita a los usuarios ser productivos sin cruzar líneas legales, alejando a la empresa de las zonas grises de vacíos legales.
Así, Las empresas pueden beneficiarse plenamente del BYOD si aplican una estrategia que reduzca los riesgos de seguridad y privacidad, así como la complejidad de la gestión. Esta estrategia ayudará al equipo de TI a través de una infraestructura de soluciones y un programa BYOD que permitirá al equipo de TI:
    • La gestión unificada de las políticas: una única plataforma de gestión de políticas que proteja datos, aplicaciones y sistemas, y que reconozca el perfil de usuario. Asimismo debería identificar y gestionar todos los dispositivos móviles que acceden a la red corporativa.
    • Proporcionar acceso seguro a la red y servicios corporativos, en función del perfil de usuario y dispositivo usado, y manteniendo la capacidad de red necesaria.
    • Proteger los datos independientemente de su ubicación con una seguridad capaz de identificar el contexto.
    • Facilitar la transmisión segura de datos entre los dispositivos y la infraestructura de red o cloud.

Contramedidas específicas para entornos BYOD

Como ya se avanzaba en la actividad de la pantalla anterior, supone un reto desplegar este tipo de contramedidas en un dispositivo que no pertenece a la compañía sino a uno de sus empleados, se trata de su dispositivo personal. Y esto puede plantear problemas respecto a su privacidad.
Se recomienda incidir en el hecho del mutuo beneficio para poder desplegar programas y planes BYOD sin que suponga una amenaza para los empleados: puedes utilizar tus dispositivos personales cómodamente para trabajar pero a cambio tienes que ser responsable con la seguridad (aplicando todas las políticas asociadas al uso de BYOD que se hayan definido) y permitir a la compañía cierto grado de control sobre el dispositivo. Deben quedar muy claras en todo momento las responsabilidades y las limitaciones de cada parte, llegando a firmarlas si es necesario.
En lo que se refiere al primer tipo de contramedidas, las relacionadas directamente con la definición de políticas BYOD se recomienda, como mínimo que cubran estos aspectos:
  • Usar de uno o varios factores de autenticación para la activación del dispositivo por si se pierde o roba. No vale con el PIN, se debe usar una contraseña fuerte, factores de autenticación biométricos, etc.
  • Contactar con la persona adecuada dentro de la organización en caso de pérdida o robo del dispositivo, Se recomienda utilizar mecanismos de geo-localización de los dispositivos para estos casos y códigos de bloqueo remoto (siempre con permiso del empleado y sólo en estos casos de necesidad).
  • Almacenar datos de la empresa en el dispositivo sólo cuando sea estrictamente necesario, el resto del tiempo trabajar con ellos en la nube sin que exista copia local.
  • Usar criptografía obligatoriamente para el almacenamiento de los datos en el dispositivo. 
  • Realizar copias de seguridad y gestionarlas/almacenarlas de manera segura.
  • Evitar la conexión a redes Wi-Fi públicas (inseguras).
  • Usar protocolos de comunicaciones seguros para el acceso a la red corporativa (a través de una VPN construida sobre IPSec o TLS, por ejemplo).
  • Tener instalada la solución anti-malware corporativa para dispositivos móviles, y si es posible, complementarla con software que permita realizar white-listing o black-listing de aplicaciones.
  • Instalar sólo las apps validadas por la organización o desde su propio market de aplicaciones.
Como puedes ver, se trata de contramedidas que ya conoces, pero aplicadas en un entorno muy concreto. En cuanto al control de los dispositivos por parte de la organización, están proliferando diferentes soluciones que permiten realizar este control desde los departamentos TI de manera centralizada e integrada con la Política de Seguridad de la organización. En este caso sí se trata de soluciones específicas para BYOD, por lo que todavía están evolucionando. Estos son algunos ejemplos representativos de lo que se puede encontrar en la actualidad en el mercado:
  • Mobile Device Management (MDM): Este tipo de software ayuda a la organización a forzar el cumplimiento de las políticas relacionadas con el dispositivo, por lo tanto, con la autenticación para su uso, la gestión de las pérdidas y robos, el uso obligatorio de criptografía, la protección contra el malware, las actualizaciones, etc.
  • Mobile Application Management (MAM): En este caso, la solución se centra en la gestión de las apps y por lo tanto en su validación, distribución, etc. También en la definición de listas blancas y negras, en la obligación para algunas de ellas de cumplir requisitos adicionales con la criptografía, etc.
  • Mobile Content Management (MCM): Estas soluciones se centran en la gestión de los datos, tanto cuando se utilizan desde la nube como cuando se almacenan localmente. Sobre todo están enfocadas a la seguridad de la información, gestionando el control de acceso, perfiles y roles, etc.
Hay que destacar que además de poder optar por estas alternativas existen otras soluciones en el mercado que permiten gestionar la seguridad en entornos BYOD gracias a mecanismos de virtualización. Por ejemplo, se pueden separar dentro de un mismo dispositivo, gracias a la virtualización, los contextos personal y corporativo del empleado. O se puede recurrir a las soluciones de application streaming para encapsular aplicaciones y datos corporativos y ofrecerlos en el dispositivo del empleado como si se tratara de un escritorio remoto. Prácticamente cada día están surgiendo nuevas contramedidas y soluciones.
Francisco Javier Cervigon Ruckauer
. No hay comentarios:
Etiquetas:

Ciberseguridad Industrial e Industrial Internet of Things Francisco Javier Cervigon Ruckauer

Ciberseguridad Industrial e 

Industrial Internet of Things

Definición de informática industrial

Antes de profundizar en los conceptos asociados a la ciberseguridad industrial, es necesario que conozcas las características y peculiaridades de los principales activos, dispositivos y sistemas que se utilizan en los entornos industriales. Como observarás, difieren bastante de los sistemas de gestión o transaccionales que normalmente se estudian en el ámbito IT (Information Technology), como son las aplicaciones web o los sistemas ERP, CRM o Business Intelligence.
Para esto, te proponemos comenzar esta unidad definiendo el concepto de informática industrial: “(1) La informática industrial es la rama de la informática (5) cuyo objetivo es adquirir, supervisar, controlar y gestionar (3) datos (4) en tiempo real, (2) que provienen de entornos industriales o asociados a infraestructuras”.
Teniendo en cuenta esta definición, vamos a analizar y a explicar algunos de los conceptos que se incluyen para tu mejor comprensión:
(1) “La informática industrial es la rama de la informática…”: Efectivamente, se trata de una rama más de la informática y como tal está relacionada con el procesamiento automático de datos (unos específicos que veremos a continuación) mediante dispositivos electrónicos (que en nuestro caso permiten automatizar los procesos de producción) y sistemas computacionales (que tratan todos los datos para convertirlos en información).
(2)“…que provienen de entornos industriales o asociados a infraestructuras”..: Estos son algunos de los sectores en los que los conceptos de la informática industrial se aplican asiduamente (y por tanto, sectores objetivo de ataques). Dentro de las infraestructuras podemos incluir el ciclo integral del agua (desde la captación y producción, pasando por el tratamiento y la distribución hasta llegar a la gestión de aguas residuales), el sector energético, el de transportes o todo lo relacionado con la gestión inteligente de edificios. Por otro lado, dentro del área industrial, destacan sectores como el de la alimentación y bebidas, farmacéutico, químico, metalúrgico, petrolífero y gas, etc.
(3)“…datos”…:¿Qué tipos de datos se gestiona la informática industrial? Mientras que en la informática transaccional se gestionan entre muchos otros, datos relacionados con clientes, facturas, proveedores, albaranes, etc., la informática industrial gestiona datos que provienen directamente de los procesos industriales que se llevan a cabo en los sectores que antes mencionábamos. Entre ellos se encuentran, por ejemplo, las alarmas que se generan si un proceso industrial no se está llevando a cabo de forma correcta, la temperatura a la que se está realizando una determinada receta, el caudal y presión a la que se envía un determinado líquido a un tanque, el nivel de llenado de dicho tanque, el número de productos que se han fabricando, las materias primas consumidas durante el proceso, el consumo energético realizado, etc.
(4)“…en tiempo real,…”: Es preciso diferenciar los conceptos de sistemas de tiempo real y gestión de información en tiempo real. En cualquier caso, ambos conceptos están fuertemente vinculados a la informática industrial. Según Donald Gillies, un sistema de tiempo real es aquel en el que la corrección de los resultados no depende sólo de la corrección de los cálculos realizados para producirlos, sino también del instante en el que éstos están disponibles. Es decir, los sistemas de tiempo real deben cumplir ciertos plazos. Un sistema de tiempo real no es sinónimo de inmediatez, baja latencia o rapidez de funcionamiento. No es la velocidad de la respuesta del sistema la que lo convierte en un sistema de tiempo real. El objetivo de los sistemas de tiempo real es asegurarse de que la latencia es la adecuada para resolver el problema al cual el sistema está dedicado, y esto pueden ser días, horas, segundos o microsegundos dependiendo de la aplicación.

Tiempo real e informática industrial 
Tiempo real e informática industrial. 
(5)“…adquirir, supervisar, controlar y gestionar…”: Adquirir los datos en tiempo real utilizando una serie de dispositivos y protocolos; supervisar y controlar los procesos de producción utilizando sistemas específicos; gestionar estos datos para que se conviertan en información y conocimiento, con el propósito de tomar decisiones que permiten incrementar la productividad de los procesos industriales y optimizar las infraestructuras. En la siguiente pantalla profundizamos en estos conceptos, explicando el alcance de la informática industrial.

Alcance de la informática industrial

Con el objetivo de definir el alcance de la informática industrial, vamos a basarnos en una clasificación que realiza la organización ISA (International Society of Automation) en la normativa ISA95 (concretamente en el documento ISA-95.01 Enterprise-Control System Integration: Models & Terminology). En esta normativa se define una pirámide en la que se identifican cinco niveles de automatización y, asociados a cada uno de estos niveles, se mapean los dispositivos y/o sistemas de información, que normalmente son utilizados en cada uno de ellos.
  • Nivel 0: El propio proceso productivo.
  • Nivel 1: El control del proceso. Al nivel 1 se asocian los dispositivos que permiten que el proceso productivo se lleve a  cabo, es decir, robots, sensores, actuadores, instrumentación, etc. En este nivel se incluyen entre otros, los PLCs (Programmable Logic Controller), los sistemas DCS (Distributed Control System) u otro tipo de dispositivos como las RTU (Remote Terminal Unit), IED (Intelligent Electronical Device), etc.
  • Nivel 2: La supervisión del proceso. Al nivel 2 se asocian los sistemas que monitorizan y controlan el proceso productivo a través de sistemas SCADAs (Supervisory Control and Data Acquisition) o HMI (Human Machine Interface).
  • Nivel 3: La gestión de operaciones. Al nivel 3 se asocian los sistemas de historización (historizadores), MES (Manufacturing Execution  Systems) y Batch.
  • Nivel 4: La planificación de las operaciones. Al nivel 4, se asocian los sistemas transaccionales como el ERP (Enterprise Resource Planification), el CRM (Customer Relationship Management) o las soluciones BI (Business Intelligence).

ISA95 y pirámide de automatización
ISA95 y pirámide de automatización.
Teniendo en cuenta esta clasificación, a continuación explicaremos brevemente las características de los principales dispositivos y sistemas vinculados a los niveles, 1, 2 y 3 y analizaremos también los protocolos de comunicación industrial específicos que utilizan para comunicarse entre sí.

Nivel 1: El control de proceso. Los dispositivos PLCs

Un PLC (Programmable Logic Controller) es un dispositivo que permite ejecutar programas que tiene como inputs señales eléctricas provenientes de la instalación a controlar y como outputs, salidas digitales o analógicas que activan elementos de la misma como motores, válvulas o resistencias. Se componen de una o varias fuentes de alimentación, una CPU junto con sus memorias, interfaces de entrada y de salida, una consola de programación (normalmente un PC), dispositivos periféricos, tarjetas de comunicaciones, etc.

Procesamiento de entradas y salidas realizadas por un PLC
Procesamiento de entradas y salidas realizadas por un PLC.

Nivel 2: La supervisión del proceso. Los sistemas SCADA y HMI

Un sistema SCADA (Supervisory Control and Data Acquisition) es aquel conjunto de redes, equipos y programas que monitorizan en tiempo real procedimientos industriales y tareas complejas, a partir de la información obtenida a través de sensores, comunicándose con los dispositivos actuadores para transmitirles las órdenes adecuadas y pudiendo controlar el proceso de forma automática mediante un software especializado.
¿Qué diferencia hay entre un HMI (Human Machine Interface) y un sistema SCADA? Aunque es difícil generalizar, lo normal es que en un entorno industrial, existan PCs que albergan aplicaciones de supervisión y control a pie de línea de producción, que están ubicados en pódiums, consolas específicas, o incluso embebidos en las propias máquinas de proceso. A este tipo de aplicaciones se les llama HMI y, normalmente, tienen menos funcionalidades que las aplicaciones SCADA. Estas últimas se utilizan para proporcionar una visión general de toda la fábrica desde un centro de control, en el que existan uno o varios PCs desde los que se tiene una visión global de todo el proceso.
En cuanto a las funcionalidades típicas de estos sistemas podemos destacar las siguientes:
    • La supervisión: Se trata de visualizar el estado de diferentes variables de proceso (en el caso de industria) o de estados/consumos (en el caso de infraestructuras).
    • El control: El propio software (instalado en un PC, tablet, Smartphone, etc.) pueda interactuar con un PLC o un controlador y estos a su vez sobre el proceso, cambiando consignas, parándolo, activándolo, cambiando velocidades, abriendo y cerrando instrumentación, etc.
    • La gestión de alarmas y eventos: El sistema SCADA avisa de los valores de determinadas variables o estados de proceso que están fuera de los umbrales de funcionamiento o rango numérico previamente asignados.
    • La gestión de históricos: El SCADA además de mostrar la información del proceso en tiempo real almacena los datos que recoge de diferentes formas (en ficheros planos, en bases de datos relacionales, en bases de datos específicas desarrolladas para entornos industriales).

Nivel 3: La gestión de operaciones. Los sistemas de Historización, MES y Batch

    • Un historizador es un sistema cuya función principal es la de guardar, almacenar y salvaguardar todos los datos de proceso, estados de variables digitales y analógicas y, en general, cualquier tipo de información que sea generada asociada a un proceso industrial o de infraestructuras. Están basados en motores de bases de datos que están específicamente diseñados para manejar grandes volúmenes de información. Normalmente los historizadores proporcionan herramientas que permiten analizar, explotar y contextualizar la información recogida para ayudar a la toma de decisiones.
    • Un sistema MES (Manufacturing Execution System) es un sistema de información que permite gestionar y optimizar en tiempo real el entorno industrial de una organización. Además es capaz de integrarse bidireccionalmente con otros sistemas transaccionales (ERP, CRM, DRP) o tiempo real (SCADA principalmente). En la figura siguiente se resume la información que maneja un sistema MES y cuál es la que remite al sistema ERP cuando ambos sistemas están integrados.

Integración ERP y MES
Integración ERP y MES.
    • En el ámbito de la fabricación de productos, el proceso industrial puede ser de tres tipos: proceso discreto(producción de bienes indivisibles como coches, lavadoras, mesas, etc.); proceso continuo o proceso discontinuo por lotes.  En el caso de un proceso discontinuo se elaboran lotes, esto es, cantidades finitas, identificables y unívocas de diferentes productos: materias primas, productos semiterminados, productos terminados. Estos productos se elaboran a partir de un plan de producción en función de unas recetas detalladas. Por lo tanto, las operaciones y fases, al igual que el uso de recursos, serán distintos para cada uno de ellos. Entre los sistemas específicos que permiten automatizar, trazar y facilitar la gestión de procesos discontinuos se encuentran los sistemas Batch.
Protocolos de comunicación industrial
Los diferentes dispositivos y programas que componen una instalación de automatización y control industrial necesitan intercambiar información para su funcionamiento. Para ello disponen de protocolos de comunicación que definen los medios y métodos para el intercambio de información entre ellos. Esta comunicación puede hacerse horizontalmente(los dispositivos y sistemas pertenecientes a un mismo nivel de automatización se comunican entre sí) o verticalmente(los dispositivos y sistemas pertenecientes a diferentes niveles de automatización se comunican entre sí). Estos protocolos se caracterizan, entre otras cosas, por ser muy heterogéneos y por no ser seguros. Es decir, las comunicaciones en los entornos industriales a través de la mayoría de protocolos carecen de la posibilidad de autenticación, autorización, encriptación y/o auditabilidad.
Existen miles de protocolos industriales (Modbus, Ethernet/IP, Profinet, OPC, DNP3, etc.). Entre ellos destacamos los siguientes por su extensa utilización en los sectores industriales: Modbus y OPC.
    • Modbus un protocolo de comunicaciones situado en el nivel 7 del Modelo OSI, basado en la arquitectura maestro/esclavo o cliente/servidor. Normalmente el maestro/cliente es un sistema HMI o SCADA, mientras que el esclavo/servidor es un PLC o una RTU. Actualmente existen dos versiones de Modbus: Modbus Serie o RTU (es en este caso cuando se habla de maestro/esclavo) y Modbus TCP (es en este caso cuando se habla de cliente/servidor). En ambos casos, el protocolo está diseñado para que sólo el maestro/cliente pueda realizar peticiones sobre el esclavo/servidor, de manera que este responda. El protocolo está formado por lo que se denominan “function codes”, es decir son las diferentes instrucciones que el maestro/cliente puede realizar sobre el  esclavo/servidor, como pueden ser lectura y escritura de variables discretas o analógicas, reseteos, diagnósticos, eventos, etc.
    • OPC (OLE for Process Control) es un conjunto de especificaciones estándares desarrolladas por la OPC Foundation que homogenizan y facilitan la comunicación entre los dispositivos de planta y el resto de sistemas de información (industriales y transaccionales). OPC ayuda a resolver los problemas típicos en el ámbito de las comunicaciones de campo, como son la existencia de protocolos y drivers propietarios de fabricantes, las integraciones complejas y las elevadas cargas de trabajo sobre controladores si concurren varios protocolos. Esta especificación, a su vez se divide en las siguientes tres:
      • OPC Data Access Specification (OPC DA): utilizada para trasmitir datos de tiempo real.
      • OPC Historical Data Access Specification (OPC HDA): utilizada para transmitir datos históricos.
      • OPC Alarms & Events Specification (OPC A&E): utilizada para transmitir información de alarmas y eventos.
Como has podido observar, se trata de sistemas y dispositivos que tienen peculiaridades y funcionalidades específicas, pero que aprovechan en muchas ocasiones, los estándares tecnológicos adaptados en los entornos transaccionales. Esto los hace, como mínimo, igual de vulnerables que los sistemas de gestión e información asociados a IT, pero con la peculiaridad de que están vinculados a procesos de producción y la gestión de infraestructuras. ¿Imaginas qué puede pasar si algunos de estos sistemas es atacado? Cuando las organizaciones empezaron a responder a esta pregunta surgió la ciberseguridad industrial.

Definición y conceptos asociados a la ciberseguridad industrial

En el siguiente podcast vamos a explicarte qué es y por qué surge la ciberseguridad industrial. Además introduciremos terminología propia acuñada por esta rama de la ciberseguridad.

Esperamos que este podcast te haya servido para entender la idiosincrasia particular de la ciberseguridad industrial. A continuación, vamos a explicarte con más detalle, lo que en el podcast hemos denominado redes o entornos IT y OT.

Diferencias entre ciberseguridad IT & OT

Existen claras diferencias entre los ámbitos IT (en el que nos hemos centrado a lo largo de todo el MOOC) y OT, que justifican la necesidad de abordar del desarrollo e implantación de programas de ciberseguridad industrial específicos, que estén alineados con las políticas de seguridad IT de la organización. A continuación te proponemos que visualices un vídeo en el que te explicamos dichas diferencias.

Como has podido observar existen diferencias notables entre los entornos IT y OT. Esto hace que la ciberseguridad industrial requiera de un tratamiento especial por parte de las organizaciones. En cualquier caso, no podemos olvidar que estos planes específicos, siempre deben estar alineados e integrados en los planes directores corporativos de ciberseguridad.

Contramedidas específicas para proteger entornos industriales

A lo largo del MOOC hemos analizado varias contramedidas utilizadas habitualmente para incrementar la seguridad y disminuir la probabilidad de que un ataque se realice con éxito. En muchos casos, estas contramedidas pueden ser utilizadas también para proteger entornos industriales y de infraestructuras. Por poner tan sólo un ejemplo, habitualmente las compañías despliegan firewalls que permiten segmentar el tráfico entre Internet y la red corporativa (o lo que nosotros hemos llamado red IT). Pues bien, este mismo tipo de contramedida de arquitectura de red es habitualmente utilizada para realizar la segmentación entre las redes IT y OT de fábricas y entornos fabriles.
Como ya hemos explicado, los entornos industriales tienen una idiosincrasia particular, que hace necesario la incorporación de ciertas contramedidas específicas que a continuación te explicamos. Destacamos las siguientes tres:
    • Firewalls industriales DPI (Deep Packet Inspection).
    • Diodo de datos para proteger activos.
    • Tecnologías antimalware off-line.
FIREWALLS INDUSTRIALES DPI (DEEP PACKET INSPECTION)
Un firewall es un dispositivo hardware o aplicación software que monitoriza y controla el tráfico que fluye entre dos redes e intercepta el tráfico no autorizado comparando cada unidad de información (paquete, segmento, datagrama o trama, dependiendo del nivel al que trabaje) con una serie de reglas predefinidas.
¿Por qué un firewall puede ser calificado como industrial? Porque se ha diseñado de forma específica pensando en los entornos ambientales y operación de las redes industriales, porque su instalación y despliegue no es intrusiva ni invasiva, y su configuración y módulos de gestión de reglas son fáciles de utilizar.
Y para terminar, ¿qué se entiende por DPI (Deep Packet Inspection)? Un firewall DPI es aquel que puede filtrar por protocolos/tipos de archivos específicos, como SOAP o XML (por ejemplo en entornos transaccionales). En el ámbito industrial un firewall DPI:
    • Es aquel que se despliega físicamente entre los sistemas SCADA, HMI (nivel II de la ISA95) y los dispositivos de campo como los PLCs, DCSs, RTUs (nivel I de la ISA95).
    • Bloquea malware construido sobre protocolos típicamente IT. Es decir, la mayoría del malware no está construido sobre protocolos industriales. Al poder definir reglas de segmentación específicas por protocolo industrial (Modbus, Profinet, OPC, Ethernet/IP, DNP3) este tráfico no estaría permitido.
    • Segmenta tráfico que no es conforme al “estándar” del protocolo industrial seleccionado, es decir, realiza un “sanity check” de las tramas que inspecciona.
    • Permite definir reglas de segmentación por Function Codes específicas de protocolos como Modbus o Ethernet IP, por tanto, una inspección profunda de las funciones, objetos o clases específicas asociadas a un determinado protocolo industrial, de manera que se asegure la integridad del protocolo. En el momento en que se produzca una inyección de código o se detecte que se quiere realizar una comunicación sobre un protocolo que no sea el autorizado, el dispositivo de segmentación bloqueará este intento, evitando así la alteración en la comunicación que se está llevando a cabo. Por ejemplo, si el protocolo utilizado es Modbus TCP/IP es posible definir una regla que no permita a un maestro ejecutar las “function codes” 05 “write cole” y 06 “write register” sobre un esclavo. O si se utiliza OPC para comunicar, el firewall es el responsable de asignar un único puerto sobre OPC para realizar comunicaciones seguras entre clientes y servidores.

Fortificación de red OT a través de firewalls industriales DPI
Fortificación de red OT a través de firewalls industriales DPI.
Como puedes observar en esta figura, para fortificar los niveles 1 y 2, es decir, para proteger el proceso y posibles ataques a los dispositivos de control, se incluyen los Firewalls industriales DPI (Deep Packet Inspection). Puedes apreciar que los DPI se ubican entre los sistemas SCADA y los PLCs asegurando su disponibilidad y por tanto la del proceso.
DIODO DE DATOS PARA PROTEGER ACTIVOS
Los diodos de datos surge, entre los años 80 y 90 en los sectores de defensa y banca principalmente, como mecanismo  de protección de redes y sistemas que manejaban información confidencial. Actualmente, este tipo de tecnología también se está aplicando en entornos OT con el propósito de asegurar la disponibilidad de los sistemas de control.
El diodo de datos es un dispositivo hardware (no existe firmware como el caso de los firewalls) que separa/protege dos redes asegurando la unidireccionalidad en el flujo de información, es decir, asegura que la información de una red llegue a otra red (pero no viceversa). Desde un punto de vista de arquitectura, este tipo de dispositivos se despliegan para sustituir a la tradicional DMZ.
Una de las grandes ventajas que proporciona el diodo de datos es su facilidad de gestión. Una vez que ha sido desplegado, no se requiere una gestión y un mantenimiento exhaustivo como en el caso de los firewalls. El principal inconveniente es que si se requieren escenarios bidireccionales, el diodo no debería plantearse inicialmente como opción.
El diodo de datos se compone del hardware que asegura la unidireccionalidad en el tránsito de información (a través de transceptores de fibra óptica) y de dos servidores (denominados proxies). Estos incorporan aplicaciones específicas para transmitir unidireccionalmente información que se maneja en infraestructuras críticas y en entornos industriales sobre protocolos como Modbus u OPC, o que se almacena sobre bases de datos industriales como OSIsoft PI o Wonderware Historian.
Cada proxy mantiene comunicaciones bidireccionales entre él y las redes IT y OT respectivamente, sin embargo, entre ellos, a través del diodo, la comunicación es unidireccional. Lo más relevante del diodo de datos es que es capaz de interpretar protocolos bidireccionales (típico, TCP, que requiere el handshaking de tres vías), “romperlos” y convertirlos en unidireccionales (entre los proxies y el hardware del diodo) y luego presentarlos en la red no comprometida de nuevo como bidireccionales.
En la figura se puede ver por un lado, cómo la información que se maneja en la red OT llega a la red IT estando disponible para sus usuarios, sin que estos, en ningún caso, accedan a la red de operaciones. Por otro, también puede verse cómo los datos de la red OT se transmiten unidireccionalmente a través de Internet a terceros,  evitando posibles accesos no autorizados por su parte, ya que el diodo lo impide. Este tipo de solución está muy extendida en las centrales nucleares o en instalaciones militares, por poner sólo dos ejemplos, y podría ser perfectamente extrapolable a otros sectores (aguas, química, oil&gas, telecomunicaciones, etc.).

Separación de redes IT y OT a través de diodo de datos 
Separación de redes IT y OT a través de diodo de datos. 

TECNOLOGÍAS ANTIMALWARE OFF-LINE

Las soluciones antimalware son programas que pueden ser instalados tanto en hosts, servidores o en firewalls ¿lo recuerdas?.  ¿Qué ocurre cuando queremos utilizar este tipo de tecnologías en los sistemas de gestión en tiempo real que se utilizan para optimizar los procesos de producción asociados a los entornos OT? Que debemos ser conscientes de la idiosincrasia de estos entornos, para que la incorporación de estas soluciones no afecte a la disponibilidad y óptimo funcionamiento del proceso productivo. En particular, hay que considerar que en los entornos OT  existen sistemas en los que:
    • No es posible instalar ningún tipo de agente porque el fabricante del SCADA, HMI, Historian, etc. no lo recomienda y/o soporta.
    • Los sistemas operativos utilizados han quedado obsoletos y ya no disponen de soporte por parte del fabricante del antimalware.
    • No pueden pararse (no es posible degradar el rendimiento del sistema) ni reiniciarse para realizar actualizaciones ya que son críticos.
    • No pueden llevarse a cabo actualizaciones de firmas a través de la red por estar aislados.
La pregunta que surge es, ¿existen soluciones antimalware no invasivas y que no degraden el rendimiento de los sistemas críticos? La respuesta es afirmativa. En aquellos equipos en los que por razones de seguridad no puedan conectarse a Internet (ni si quiera a través de un servidor ubicado en una zona desmilitarizada en el que se descarguen las firmas actualizadas); no esté permitida la instalación de software anti-malware porque el SO ya no está soportado (recordemos que en los entornos OT el SO más extendido es XP sin soporte por parte de Microsoft) o porque el propio fabricante del sistema HMI, SCADA, OPCServer, Historian, MES desaconseja su instalación, la solución pasa por realizar una protección en modo off-line. Para ello se utilizan herramientas de escaneo de malware realizada de forma manual (“antimalware portable”) y no invasiva, es decir sin  instalar agentes o la instalación de software específico que permita realizar “whitelisting” o “lockdown” de aplicaciones.

Proceso de escaneo de malware realizada de forma manual 
Proceso de escaneo de malware realizada de forma manual 
Como puede observarse en la figura superior, el proceso de escaneo y desinfección se realiza de la siguiente manera:
    • En la zona desmilitarizada se encuentra un servidor en el que se ha instalado la consola central que permite la actualización de firmas del antimalware (que se encuentra embebido en la scanning tool) y la gestión de logs. La instalación de esta consola es opcional.
    • Se realiza el proceso de actualización del antimalware. Este proceso se realiza desde la consola o se podría realizar desde cualquier PC ubicado tanto en la DMZ como en la red IT. Debe existir conexión a través de Internet para actualizar la base de datos de firma.
    • Manualmente, se realiza el escaneo en los dispositivos seleccionados. Es imprescindible que los equipos dispongan de un puerto USB libre. Este es el punto clave, ya que dicho escaneo (que se realiza sobre todos los ficheros o sobre aquellos que el administrador seleccione) se lleva a cabo sin instalar ningún tipo de agente (software, .dll, .exe) en el PC o en el servidor. Una vez que se ha producido el escaneo, la scanning tool proporciona visualmente los resultados obtenidos:
    1. Rojo: escaneo de malware realizado, malware detectado y en espera de ser limpiado.
    2. Amarillo: escaneo de malware realizado, malware detectado y limpieza realizada.
    3. Azul: escaneo de malware realizado y malware no detectado.
    • Por último, los logs que la scanning tool ha recogido pueden ser borrados o introducidos en la consola de gestión para su análisis.
La segunda opción para realizar esta protección off-line es la instalación de agentes que permitan llevar a cabo lo que se conoce como whitelisting de aplicaciones, o lockdown. En este caso el proceso se realiza de la siguiente manera:
    • El agente que ha sido instalado en el PC o en el servidor mapea todos los ejecutables existentes en un determinado equipo (.exe, .dll, etc.).
    • Se determina que estos son los programas que pueden lanzarse/ejecutarse desde el equipo.
    • Se realiza el bloqueo o lockdown, de manera que cualquier aplicación que quiera instalarse o cualquier ejecutable malicioso que quiera desplegarse no podrá hacerlo, ya que es una aplicación no autorizada para hacerlo.

Estándares y mejores prácticas asociados a la ciberseguridad industrial

Diferentes organismos y organizaciones han desarrollado diferentes estándares y mejores prácticas que persiguen ayudar a las organizaciones a desplegar eficientemente políticas, programas o procedimientos específicos relacionados con la ciberseguridad industrial. En estos enlaces, puedes acceder a una extensa recopilación de todas ellas:
Te invitamos a que consultes los que más te interesen y clasifiques por familias las siguientes 18 recomendaciones extraídas de los documentos que arriba te indicábamos. Seguro que tras esta actividad, tienes más claro cómo abordar programas e iniciativas vinculadas a la ciberseguridad industrial.
Las familias de mejores prácticas son las siguientes:
A. Seguridad física.
B. Segmentación y fortificación de redes.
C. Políticas y procedimientos para la mejora de la seguridad (gestión del factor humano).
D. Arquitectura de red (inventarios, gestión en tiempo real de dispositivos de electrónica de red, accesos remotos, intrusiones, etc.).
E. Formación y concienciación.
F. Secured by Design (adquisición y/o despliegue de dispositivos y tecnologías que se hayan desarrollado “Secure by design” o tengan algún tipo de certificación específica que corrobore que sean diseñado con este tipo de filosofía).

Una Internet of Things segura

Internet of Things o Internet de las cosas es el paradigma que permite que objetos cotidianos se conecten a Internet proporcionando capacidad de supervisión y control en su entorno (se supervisa y controla la realidad cotidiana como se hace con el proceso en una fábrica). Este concepto tiene que ver con la denominada inteligencia ambiental, con la computación ubicua y con su modelo predecesor, las Wireless Sensor Networks (WSN). Pero no se debe confundir con este último, principalmente porque añade la capacidad de controlar a la de supervisar y porque a diferencia de este, se basa en tecnologías y protocolos de Internet, y por lo tanto abiertos y conocidos por todos, no propietarios. Esta apertura a Internet tiene sus ventajas, pero obviamente, y en lo que se refiere a ciberseguridad, también sus inconvenientes. Mucho más en contextos de Industrial Internet of Things o Industria 4.0, en los que se utiliza este nuevo paradigma en entornos industriales y/o de infraestructuras.

En la actualidad se ha abierto un debate interesante acerca del concepto de Security by Design en contextos de Internet of Things, ya que incorporar por defecto la seguridad en dispositivos de consumo suele encarecer sus precios. Por lo tanto, hay partidarios de no hacerlo, mantener los precios lo más bajos posibles y dejar esa responsabilidad a desarrolladores, administradores y usuarios. Sin embargo, los primeros casos de ataques en estos contextos (especialmente por malware y DDoS) están poniendo de manifiesto el peligro que supone que los atacantes dispongan de potenciales botnets de millones de dispositivos desprotegidos, por lo que cada vez son más los partidarios de mejorar la seguridad desde el propio diseño del dispositivo (recordemos: unas zapatillas de deporte, una lavadora o el control de riego de un jardín) aunque esto encarezca los diseños.
Además hay que tener en cuenta que en un contexto tan abierto como este, la seguridad física se vuelve un problema difícil de resolver. Y que hay que recordar en todo momento las amenazas, riesgos y vulnerabilidades que se heredan del paradigma Cloud y del móvil, ambos muy presentes en Internet of Things en casi todos sus contextos de aplicación. Todo ello hace que conseguir un Smart but Secure Planet sea uno de los retos más apasionantes para los profesionales de la ciberseguridad hoy en día.
Francisco Javier Cervigon Ruckauer
. No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)