Las vulnerabilidades de día cero en los sistemas de control industrial destacan los desafíos de proteger infraestructura crítica.

La divulgación de vulnerabilidades de día cero en viarios sistemas de control industrial de Schneider Electric destaca la necesidad de modernizar las prácticas de ciberseguridad en los entornos de tecnología operativa.

Vulnerabilidades día cero en sistemas de control industrial

Una divulgación de día cero de múltiples vulnerabilidades en los sistemas de control industrial de Schneider Electric (ICS) ejemplifica las dificultades del mundo real que enfrenta el ecosistema de infraestructura crítica.

Las vulnerabilidades — que afectan los productos de control de la compañía Eco Struxure Control Expert, EcoStruxure Process Expert, SCADA Pack REmote Connect x70 y Modicon M580 y M340 — plantean varios riesgos, incluida la posibilidad de completar la evasión de autenticación, la ejecución de código arbitrario y la pérdida de confidencialidad e integridad.

La investigación de Día Cero de Tenable fue uno de varios proveedores que detectaron las vulnerabilidades de Schneider a través de prácticas de divulgación estándar, puede ver el informe técnico aquí. Los sistemas de tecnología operativa (TO) aún no han hecho avanzar su postura de seguridad para estar a la par con sus contrapartes de TI, y como tal, esta es una situación poco común donde no se debe dar una divulgación total. Bajo el  punto de vista de Tenable, el riesgo de éxito de la explotación en la realidad era demasiado grande y la infraestructura crítica en riesgo era demasiado confidencial para que pudieran proceder a la divulgación total siendo que había parches que el proveedor liberaría dentro de meses.

Los factores que rodean la divulgación de Schneider, ponen de relieve los numerosos retos implicados en la protección de infraestructura crítica.

Los sistemas de control industrial y otras tecnologías utilizadas en el entorno de tecnología operativa generan dificultades enormes para desarrollar e implementar parches. ¿Por qué? Porque los sistemas tienen que ser desactivados y probados exhaustivamente cada vez que se realiza una actualización. Sin embargo, los actuales modelos operativos para la mayoría de entornos de TO, tales como centrales eléctricas, gasoductos y plantas de fabricación, dejan poco margen para tiempo de inactividad. Está claro que una discusión más amplia de la industria es necesaria para determinar si los parámetros de proveedor utilizados para las divulgaciones de día cero en los entornos de TI son apropiadas para las infraestructuras críticas.

En un entorno típico de TI, los flujos de trabajo y procesos para la colocación de parches en los sistemas de negocios digitales están bien establecidos y han sido comprobados con el tiempo. Por otro lado, en la mayoría de los entornos de TO no hay un flujo de trabajo claro para actualizar el software, que es el punto débil de nuestra infraestructura crítica. Hay una lucha continua entre la producción y la seguridad, cada una de las cuales tiene diferentes métricas de éxito acerca del tiempo de actividad y el rendimiento del sistema.

En un entorno de OT, es común que los sistemas dependientes de software sean puestos en servicio y nunca se toquen nuevamente durante los siguientes 10 años. Las actualizaciones periódicas de software para tecnologías de TO, simplemente no están incorporadas en los procesos estándar en la mayoría de las organizaciones de infraestructura crítica.

Estamos convencidos de que corresponde a los interesados — incluidos los organismos gubernamentales, los organismos encargados de hacer cumplir la ley, los investigadores, los proveedores y los propietarios y operadores de instalaciones de infraestructura crítica — priorizar la colaboración global con un ojo hacia el desarrollo de las mejores prácticas para proteger los sistemas de TO que puedan aplicarse independientemente de la geografía.

Creemos que estos debates deben reconocer que los proveedores y operadores de TO tienen mucho que aprender de sus contrapartes de TI y necesitan ser más hábiles a la hora de desarrollar y gestionar el software que sustenta sistemas cruciales. No nos equivoquemos, la responsabilidad no corresponde exclusivamente a los propietarios y gestores de entornos de infraestructura crítica. Los proveedores deben ser responsables de rastrear errores continuamente y realizar el aseguramiento de calidad en su propio software, dedicando recursos a gestionar de manera eficazmente la divulgación de vulnerabilidades y disminuir los tiempos de actualización de versiones.

Los desafíos son tanto de personas y procesos como de tecnologías. Los operadores de entornos de infraestructura crítica necesitan replantear su gobierno de prácticas de ciberseguridad, riesgo y cumplimiento. La gestión y la corrección de las vulnerabilidades de software en sistemas de TO debe ser una parte rutinaria del mantenimiento de plantas, como lo es hoy el mantenimiento mecánico de hardware.

En los EE. UU., se ha observado una medida positiva en la Orden ejecutiva para Mejorar la ciberseguridad de la nación del 12 de mayo, emitida por la administración Biden, que dicta que la orientación de seguridad de la cadena de suministro de software incorpore programas de divulgación de vulnerabilidades, y en la hoja informativa del 18 de mayo que fue emitida por la Casa Blanca, que menciona que “la ciberseguridad es una parte fundamental de la resiliencia y de la construcción de la infraestructura del futuro”.

Al mismo tiempo, reconocemos la necesidad de medidas más inmediatas que los propietarios y gestores de infraestructuras críticas de entornos puedan implementar hoy. A continuación, ofrecemos tres acciones de alto nivel, así como dos pasos tácticos, que las organizaciones pueden emprender para protegerse a sí mismas mientras pasa la estela de la divulgación de Schneider.

Tres acciones para proteger entornos de infraestructura crítica

No hay un remedio mágico para proteger los entornos de TO. Al igual que con la seguridad de TI, se trata de sentar los fundamentos. Y estamos muy conscientes de que la simplicidad de la orientación, oculta la complejidad de la implementación de las recomendaciones. No obstante, creemos que estos elementos de acción deberían repetirse, ya que son fundamentales para cualquier estrategia de ciberseguridad sólida, especialmente cuando los sistemas no pueden ser actualizados:

  1. Implemente una postura de defensa a profundidad. Los entornos de infraestructura crítica no pueden depender de la seguridad de cualquier dispositivo dado. Las organizaciones necesitan implementar una arquitectura de seguridad robusta con controles compensatorios para proteger los dispositivos que se encuentran en mayor riesgo.
  2. Desarrolle de políticas sólidas de gobierno y recuperación ante desastres. Estas son esenciales para tratar con el ransomware y otras formas de ciberataques, y deben tener en cuenta no sólo la tecnología, sino también a las personas y procesos en cualquier organización. Pruebe sus planes de copia de seguridad antes de que los necesite. Debido a que la escasez de conocimientos cibernéticos es particularmente crítica en los entornos de TO, el logro de este nivel de gobierno sigue siendo un desafío para muchas organizaciones.
  3. Escoja las tecnologías sabiamente. Sin las personas y las políticas adecuadas implementadas, es imposible obtener el máximo valor de cualquier tecnología que compre. Al mismo tiempo, hay ciertas capacidades que debe buscar en sus opciones tecnológicas. Por ejemplo, el entorno de TO requiere el mismo nivel de análisis continuos en tiempo real que en el mundo de la TI. Los operadores de TO necesitan implementar tecnologías que les brinden el tipo de capacidades de detección y recuperación necesarias para eludir a los maleantes que emplean amenazas sofisticadas.

Dos acciones para los usuarios de los sistemas Schneider afectados

Si su organización utiliza los sistemas Schneider afectados por esta divulgación de día cero, aquí hay dos acciones que puede emprender de inmediato:

  1. Revise y siga las recomendaciones del proveedor detalladas en la divulgación Schneider aquí.
  2. Los clientes de Tenable pueden saber más aquí acerca de cómo detectar los sistemas afectados en su entorno.

Conclusión

Es imperativo para investigadores, gobiernos, organizaciones del sector privado y proveedores de tecnología emprender inmediatamente acciones tácticas, así como acciones estratégicas a largo plazo para abordar los desafíos de ciberseguridad considerables a los que se enfrenta nuestra infraestructura crítica. Asimismo, es fundamental desmantelar los silos de infosec, TI y TO que existen en la mayoría de las organizaciones y replantear la forma en que estos equipos son incentivados para asegurar que se priorice la ciberseguridad.

Conoce Más información sobre como prevenir un ataque OT

 

Conoce más sobre nuestras soluciones de Ciberseguridad 

Cargando Calendario...
Powered by Booking Calendar
captcha